Samba Édu 3 - Académie de Versailles

Transcription

CRDP de l’académie de Versailles
2 rue Pierre-Bourdan
78160 Marly-le-Roi
Tél. 01 78 64 52 00
Samba Édu 3
23 avril 2013
Mission TICE Médiapôles
http://www.tice.ac-versailles.fr/-Mediapoles-.html
Table des matières
1 Avant l’installation
1.1
1
Préparation du serveur LCS–SLIS4 (si vous en avez un) . . . . . . . . . . . . . . . .
2
1.1.1
Configuration de la zone DNS locale . . . . . . . . . . . . . . . . . . . . . .
3
1.1.2
Réglage du pare-feu du serveur SLIS4 . . . . . . . . . . . . . . . . . . . . . .
5
1.1.3
Récupération d’informations importantes sur le LCS . . . . . . . . . . . . .
6
1.1.4
Passage du LCS en annuaire autonome. . . momentanément . . . . . . . . . .
7
1.2
Création du fichier d’installation pour Lenny . . . . . . . . . . . . . . . . . . . . . .
8
1.3
Sauvegarde sous clé USB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
1.4
Création du fichier d’installation pour Squeeze . . . . . . . . . . . . . . . . . . . . .
12
1.4.1
Hôte et domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
1.4.2
Mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
1.4.3
Partitions du disque Se3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.4.4
Service LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
1.4.5
Configuration réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
1.4.6
Configuration de l’environnement du serveur Se3- Paramètres serveurs annexes 16
1.4.7
Configuration Se3- Paramètres de samba . . . . . . . . . . . . . . . . . . . .
17
1.4.8
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
2 Installation du serveur SambaÉdu3
2.1
19
Installation de Debian Lenny sur le serveur . . . . . . . . . . . . . . . . . . . . . . .
20
2.1.1
CD-ROM d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
2.1.2
Démarrage du serveur via le CD-ROM d’installation
. . . . . . . . . . . . .
20
2.1.3
Partitionnement du ou des disques du serveur . . . . . . . . . . . . . . . . .
22
2.1.4
Fin de l’installation de Debian Lenny . . . . . . . . . . . . . . . . . . . . . .
25
2.2
Installation de SambaÉdu3 sur la Debian Lenny . . . . . . . . . . . . . . . . . . . .
26
2.3
Installation de Debian Squeeze sur le serveur . . . . . . . . . . . . . . . . . . . . . .
28
2.3.1
28
CD-ROM d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
i
2.3.2
2.4
. . . . . . . . . . . . .
29
Installation de SambaÉdu3 sur la Debian Squeeze . . . . . . . . . . . . . . . . . . .
30
3 Configurations post-installation
3.1
3.2
32
Réglages côté serveur SambaÉdu3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
3.1.1
L’interface d’administration Web du serveur . . . . . . . . . . . . . . . . . .
33
3.1.2
Choisir le niveau de l’interface . . . . . . . . . . . . . . . . . . . . . . . . . .
33
3.1.3
Vérifier l’état du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
3.1.4
Configuration de l’expédition des messages système . . . . . . . . . . . . . .
35
Réglages côté serveur LCS. . . si vous en avez un . . . . . . . . . . . . . . . . . . . .
36
4 Le module DHCP
38
4.1
Introduction au DHCP, pour ceux qui le connaissent mal . . . . . . . . . . . . . . .
39
4.2
Activation du module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
4.3
Comment choisir son plan d’adressage avec un serveur DHCP . . . . . . . . . . . .
40
4.4
Configuration de votre serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . .
41
4.4.1
Configurer le module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
4.4.2
Comment réserver des adresses IP ? . . . . . . . . . . . . . . . . . . . . . . .
42
4.4.3
Import - Export : comment réserver des adresses en masse ? . . . . . . . . .
44
4.4.4
Cas des VLANS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
Dépannage et FAQ pour le module DHCP . . . . . . . . . . . . . . . . . . . . . . .
45
4.5.1
Mon DHCP est en panne ! Que faire ? . . . . . . . . . . . . . . . . . . . . . .
45
4.5.2
Démarrer le serveur à la main . . . . . . . . . . . . . . . . . . . . . . . . . .
46
4.5.3
Observer le service DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
4.5
5 L’Antivirus sur le serveur
47
6 Création des comptes utilisateurs et des groupes
51
6.1
6.2
6.3
6.4
Générer l’annuaire du serveur à partir de SCONET . . . . . . . . . . . . . . . . . .
52
6.1.1
Comment obtenir les fichiers SCONET ? . . . . . . . . . . . . . . . . . . . .
52
La toute première importation sur un serveur neuf . . . . . . . . . . . . . . . . . . .
52
6.2.1
Création des classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
L’importation de début d’année . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
6.3.1
L’importation du nouvel annuaire . . . . . . . . . . . . . . . . . . . . . . . .
56
6.3.2
Le rafraîchissement des classes après la procédure d’importation annuelle . .
57
Les autres importations réalisées en cours d’année scolaire . . . . . . . . . . . . . .
58
6.4.1
59
Le rafraîchissement des classes . . . . . . . . . . . . . . . . . . . . . . . . . .
ii
7 Gestion des utilisateurs dans l’annuaire
61
7.1
L’annuaire du serveur SE3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
7.2
L’ajout manuel d’un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
7.3
Les actions sur les utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
8 Intégrer une machine dans le domaine Se3
66
8.1
Mise à jour des machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
8.2
Mise au domaine à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
68
8.3
Mise au domaine manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
9 Intégrer une machine GNU/Linux dans le domaine Se3
9.1
70
Pour les impatients qui veulent tester rapidement . . . . . . . . . . . . . . . . . . .
72
9.1.1
Installation du paquet se3-clients-linux sur le serveur . . . . . . . . . . . . .
72
9.1.2
Intégration d’un client GNU/Linux . . . . . . . . . . . . . . . . . . . . . . .
73
9.2
Visite rapide du répertoire clients-linux/ du serveur . . . . . . . . . . . . . . . . . .
75
9.3
Les options des scripts d’intégration . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
9.4
La « désintégration » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
9.5
Les partages des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
9.5.1
Liste par défaut des partages accessibles suivant le type de compte . . . . . .
79
9.5.2
Le lien symbolique clients-linux . . . . . . . . . . . . . . . . . . . . . . . . .
81
La gestion des profils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
82
9.6.1
Une précision à avoir en tête . . . . . . . . . . . . . . . . . . . . . . . . . . .
82
9.6.2
Les différentes copies du profil par défaut . . . . . . . . . . . . . . . . . . . .
83
9.6.3
Le mécanisme des profils . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
9.6.4
Exemple de modification du profil par défaut avec Firefox . . . . . . . . . .
84
Le répertoire unefois/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
9.7.1
Principe de base
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
9.7.2
Le mécanisme en détail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
9.7.3
Réglage de la locale durant l’exécution des scripts « unefois » . . . . . . . . .
89
9.7.4
Des variables et des fonctions prêtes à l’emploi . . . . . . . . . . . . . . . . .
90
Le script de logon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
9.8.1
Phases d’exécution du script de logon . . . . . . . . . . . . . . . . . . . . . .
93
9.8.2
Emplacement du script de logon . . . . . . . . . . . . . . . . . . . . . . . . .
94
9.8.3
Personnaliser le script de logon . . . . . . . . . . . . . . . . . . . . . . . . .
95
9.8.4
Quelques variables et fonctions prêtes à l’emploi . . . . . . . . . . . . . . . .
96
9.8.5
Gestion du montage des partages réseau . . . . . . . . . . . . . . . . . . . .
99
9.6
9.7
9.8
iii
9.8.6
9.9
Quelques bricoles pour les perfectionnistes . . . . . . . . . . . . . . . . . . . 103
Les logs pour détecter un problème . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
9.10 Un mot sur les imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
9.11 Désinstallation/réinstallation du paquet se3-clients-linux . . . . . . . . . . . . . . . 109
9.11.1 Désinstallation complète . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
9.11.2 Désinstallation partielle en vue d’une réinstallation . . . . . . . . . . . . . . 110
9.12 Signaler un problème, faire une remarque etc. . . . . . . . . . . . . . . . . . . . . . 111
9.13 Les évolutions du paquet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
10 Gérer les parcs machines
112
10.1 À quoi servent les parcs ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
10.2 Création d’un parc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
10.3 Ajout d’une machine supplémentaire à un parc . . . . . . . . . . . . . . . . . . . . . 114
10.4 Liste des parcs et actions possibles . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
10.5 Suppression de machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
10.6 Délégation de la gestion du parc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
10.7 Actions sur un parc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
11 Maintenance de l’annuaire LDAP
119
11.1 Exportation des comptes sous forme de fichier csv . . . . . . . . . . . . . . . . . . . 120
11.2 Nettoyage des comptes orphelins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
11.3 Récupération de l’annuaire après un problème . . . . . . . . . . . . . . . . . . . . . 122
12 Gérer les ressources et partages
124
12.1 Le partage K (Dossier personnel sur Se3) . . . . . . . . . . . . . . . . . . . . . . . . 125
12.1.1 Particularité pour les professeurs . . . . . . . . . . . . . . . . . . . . . . . . 125
12.2 Le partage H (Classes sur Se3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
12.2.1 Du point de vue « élève » . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
12.2.2 Du point de vue « professeur » . . . . . . . . . . . . . . . . . . . . . . . . . 127
12.2.3 Du point de vue « administrateur » . . . . . . . . . . . . . . . . . . . . . . . 128
12.3 Le partage I (Docs sur Se3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
12.4 Le partage L (Progs sur Se3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
12.5 Les partages suplémentaires de l’administrateur . . . . . . . . . . . . . . . . . . . . 130
12.5.1 Le partage X (Admhomes sur Se3) . . . . . . . . . . . . . . . . . . . . . . . 130
12.5.2 Le partage Y (Admse3 sur Se3) . . . . . . . . . . . . . . . . . . . . . . . . . 131
12.6 Résumé des droits sur les partages utilisateurs . . . . . . . . . . . . . . . . . . . . . 132
12.7 Modification des droits sur les partages . . . . . . . . . . . . . . . . . . . . . . . . . 132
iv
13 Les dossiers partagés
134
14 Déploiement de fichiers ou répertoires dans les « homes »
138
14.1 Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
14.2 Exemple 1 : déployer un dossier contenant une documentation dans les dossiers personnels des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
14.3 Exemple 2 : déployer tous des paramètres de Firefox sur l’ensemble les profils . . . . 140
15 Gestion des devoirs par les professeurs
142
15.1 Que fait la distribution de devoir ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
15.2 Distribuer le devoir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
15.3 Récupération des devoirs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
15.4 Envoi de corrigés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
15.5 Gestion des devoirs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
16 Gérer les « templates » (modèles)
146
16.1 Fonctionnement des templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
16.2 Les sous-répertoires associés aux groupes d’utilisateurs ou de machines . . . . . . . 148
16.3 Le répertoire base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
16.4 Application et combinaison de templates . . . . . . . . . . . . . . . . . . . . . . . . 149
16.5 Le sous-répertoire skeluser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
16.6 Le script de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
16.7 Cas de windows XP et 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
17 Informations machines et utilisateurs
152
17.1 Les connexions actives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
17.2 Historique des connexions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
18 Gestion du disque du serveur
154
18.1 Occupation des partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
18.2 Occupation des répertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
18.3 Détermination des quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
19 Gestion des imprimantes
158
19.1 Ajout d’une imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
19.2 Les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
19.3 Ajout de l’imprimante à un parc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
19.4 Téléchargement du pilote sur le serveur d’impression
v
. . . . . . . . . . . . . . . . . 161
20 Gestion des clés de base de registre
164
20.1 Une base de données initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
20.2 Des groupes de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
20.2.1 Les groupes prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
20.2.2 Le groupe « aucune protection » . . . . . . . . . . . . . . . . . . . . . . . . 166
20.2.3 Des templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
20.3 Le principe d’attribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
20.3.1 Fonctionnement du groupe spécial . . . . . . . . . . . . . . . . . . . . . . . . 167
20.4 Mise en place d’une configuration de base . . . . . . . . . . . . . . . . . . . . . . . . 167
20.5 Ajout d’une configuration supplémentaire . . . . . . . . . . . . . . . . . . . . . . . . 169
20.6 Tester la configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
20.7 Gestion des groupes de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
20.7.1 Ajouter un groupe de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
20.7.2 Modifier un groupe de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
21 L’Inventaire
173
21.1 OCS Inventory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
21.2 Recherche multicritère . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
21.3 La maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
22 Sauvegarde et Restauration des données
178
22.1 Le menu sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
22.2 Mise en place de la sauvegarde sur disque USB . . . . . . . . . . . . . . . . . . . . . 179
22.3 Mise en place de la sauvegarde sur NAS . . . . . . . . . . . . . . . . . . . . . . . . 182
22.4 Restauration d’un fichier ou d’un dossier . . . . . . . . . . . . . . . . . . . . . . . . 184
22.5 Restauration de l’ensemble de la partition /home (ou /var/se3)
23 Déploiement automatisé d’applications
. . . . . . . . . . . 184
186
23.1 Installation du service WPKG sur les clients . . . . . . . . . . . . . . . . . . . . . . 187
23.2 L’interface web de WPKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
23.3 Détail et suivi des déploiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
23.4 Contrôle du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
24 Déploiement de Trend Micro OfficeScan 10.5
193
24.1 Avant de déployer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
24.2 Ouverture de session sur le domaine SambaEdu impossible . . . . . . . . . . . . . . 195
24.3 Préparation du « paquet » à déployer . . . . . . . . . . . . . . . . . . . . . . . . . . 196
24.4 Déploiement par WPKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
vi
25 Le module TFTP
199
25.1 Préalables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
25.2 Installer une station en mode « unattended ». . . . . . . . . . . . . . . . . . . . . . 201
25.2.1 Préparation du serveur par la mise en place des sources d’installation. . . . . 201
25.2.2 Installation devant le poste . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
25.2.3 Installation à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
25.3 Clonage de stations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
25.3.1 Préalable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
25.3.2 Cloner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
25.4 Sauvegarde et restauration des stations
. . . . . . . . . . . . . . . . . . . . . . . . 204
vii
Chapitre 1
Avant l’installation
Sommaire
1.1
Préparation du serveur LCS–SLIS4 (si vous en avez un) . . . . . . . . .
1.1.1 Configuration de la zone DNS locale . . . . . . . . . . . . . . . . . . . . . .
1.1.2 Réglage du pare-feu du serveur SLIS4 . . . . . . . . . . . . . . . . . . . . .
1.1.3 Récupération d’informations importantes sur le LCS . . . . . . . . . . . . .
1.1.4 Passage du LCS en annuaire autonome. . . momentanément . . . . . . . . . .
1.2 Création du fichier d’installation pour Lenny . . . . . . . . . . . . . . . .
1.3 Sauvegarde sous clé USB . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4 Création du fichier d’installation pour Squeeze . . . . . . . . . . . . . .
1.4.1 Hôte et domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2 Mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.3 Partitions du disque Se3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.4 Service LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5 Configuration réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.6 Configuration de l’environnement du serveur Se3- Paramètres serveurs annexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.7 Configuration Se3- Paramètres de samba . . . . . . . . . . . . . . . . . . .
1.4.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TICE académie de Versailles
2
3
5
6
7
8
10
12
12
12
13
15
15
16
17
18
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
Concernant l’installation d’un serveur SambaÉdu3 au sein d’un réseau pédagogique, deux cas
de figure vont être étudiés dans cette documentation :
1. le réseau pédagogique se trouve derrière un pare-feu SLIS4 ;
2. le réseau pédagogique se trouve derrière un pare-feu AMON.
Dans le premier cas, il faudra d’abord effectuer quelques réglages sur le serveur LCS–SLIS4, réglages
que nous allons aborder dans le paragraphe suivant. Si vous êtes dans le deuxième cas, vous pouvez
passer directement au paragraphe 1.2 qui se trouve en page 8 car ce qui suit ne vous concerne pas.

1.1
Les serveurs LCS–SLIS4 ne sont plus maintenus dans l’académie de Versailles et
ils ne sont donc en principe plus réinstallés. Par conséquent, il est très probable
que le cas d’un réseau pédagogique derrière un pare-feu AMON se généralise de
plus en plus au fil des ans.
Préparation du serveur LCS–SLIS4 (si vous en avez un)
Avant de passer à la configuration du LCS–SLIS4, il va falloir vous décider une bonne fois pour
toutes sur le choix des trois éléments suivants :
• Le nom de la zone DNS locale de votre réseau pédagogique. Si par exemple votre établissement s’appelle « collège Victor Hugo », alors un nom pour la zone DNS comme hugo.local
semble tout à fait indiqué. Le SLIS4, qui jouera le rôle de serveur DNS des machines du réseau
pédagogique (Se3 compris), ne vous laissera pas le choix du TLD 1 qui sera forcément .local.
• Le nom DNS du serveur Se3. Vous pouvez choisir se3 par exemple qui à l’avantage d’être
un nom court et parfaitement explicite. Dans ce cas, si on suppose par exemple que le nom de
la zone DNS locale est hugo.local, alors le nom DNS pleinement qualifié 2 de votre Se3 au sein
de cette zone sera se3.hugo.local.
• L’adresse IP du serveur Se3. Celle-ci dépendra du réseau IP local dans lequel se trouve déjà
la carte réseau côté LAN de votre SLIS4. Par exemple, si la carte réseau côté LAN du SLIS4
a pour adresse IP 172.16.0.1 dans un réseau IP de type 172.16.0.0/16, alors dans ce cas
l’adresse 172.16.0.2 est un très bon candidat pour l’adresse IP du Se3 (à condition bien sûr
que cette adresse IP ne soit pas déjà utilisée par un autre équipement se trouvant dans le réseau
pédagogique). Autre exemple : si l’adresse IP du SLIS4 côté LAN est 192.168.71.1 dans un
réseau IP de type 192.168.71.0/24, alors l’adresse IP du Se3 pourrait être 192.168.71.2
(toujours sous réserve de la disponibilité de l’adresse IP).
1. « Top Level Domain », c’est-à-dire domaine de plus haut niveau.
2. Le nom pleinement qualifié s’appelle aussi le nom FQDN, qui signifie « Fully Qualified Domain Name ».
Page 2/208
Samba Édu 3
Évitez les problèmes !
Ne choisissez pas des noms trop « exotiques »

• Pour le nom de la zone DNS locale, contentez-vous simplement d’un nom de
la forme « xxx.local » avec « xxx » constitué uniquement des caractères
abc. . . z minuscules. Pas de caractère accentué ni d’espace donc. De plus,
la partie « xxx » ne devra pas excéder 15 caractères.
• Pour le nom DNS du Se3, limitez-vous exclusivement aux caractères
abc. . . z minuscules ainsi qu’aux dix caractères 0123456789. Ce nom ne doit
pas excéder plus de 15 caractères également.
Dans toute la suite de cette partie, et seulement dans cette partie là, on va supposer que :
• Le nom de domaine DNS choisi pour le réseau pédagogique est hugo.local.
• Le nom DNS du Se3 choisi est se3.
• L’adresse IP du Se3 choisie est 192.168.71.2, sachant que l’adresse IP du SLIS4 côté LAN
est 192.168.71.1 au sein d’un réseau IP de type 192.168.71.0/24.
Cette configuration IP est illustrée sur la figure 1.1. Charge à vous d’adapter la suite (le texte et
les captures d’écran) en fonction de votre cas personnel. Nous laisserons de côté ces hypothèses à
partir du paragraphe 1.2 de la page 8. Passons maintenant à la configuration du LCS–SLIS4.
slis
Réseau : 192.168.71.0/24
192.168.71.1
se3
192.168.71.2
192.168.71.10
192.168.71.11
Figure 1.1 – Exemple de réseau local.
1.1.1
Configuration de la zone DNS locale
Sur un ordinateur se trouvant sur le réseau pédagogique, avec un navigateur Web, entrez dans
l’interface d’administration Web du SLIS4 via l’adresse URL https://IP-LOCALE-DU-SLIS:1098.
Page 3/208

Samba Édu 3
Si vous utilisez un proxy pour accéder à cette adresse, l’ouverture de cette page
vous sera peut-être refusée. La solution consiste alors à ajouter l’adresse IP du
SLIS4 aux exceptions du proxy dans les préférences de votre navigateur (« ne
pas utiliser le proxy pour. . . »).
Connectez-vous avec l’identifiant admin 3 , puis allez dans Réseau → DNS → Nom de la zone locale.
Indiquez alors le nom que vous avez choisi pour la zone DNS locale. Dans l’exemple de la figure 1.2,
nous mettons hugo dans le champ afin d’avoir hugo.local comme nom DNS pour la zone. N’oubliez
pas de valider en cliquant sur Modifier.
Figure 1.2 – Définition du nom DNS du domaine.
Ensuite il faut procéder à l’enregistrement du nom choisi pour le serveur Se3 dans la zone DNS
locale. Allez dans Réseau → DNS → Enregistrements → Internes :
• Dans le champ Adresse IP, indiquez l’adresse IP du futur serveur Se3. Dans l’exemple de la
figure 1.3, il s’agit donc de 192.168.71.2.
• Dans le champ Nom, indiquez le nom DNS du futur serveur Se3. Dans l’exemple de la figure 1.3,
nous avons choisi le nom (très original) se3.
• Dans le champ Commentaire, vous pouvez mettre ce que vous voulez.
Avant de cliquer sur Valider, vérifiez que le bouton radio correspondant au nom de votre zone DNS
locale (hugo.local dans la figure 1.3) est bien sélectionné.
Désormais, une machine du réseau pédagogique utilisant le service DNS du SLIS4 pourra contacter
le serveur Se3 par son nom DNS pleinement qualifié, c’est-à-dire via le nom se3.hugo.local dans
notre exemple. Évidemment, il sera toujours possible d’utiliser l’adresse IP du Se3 mais c’est tout
de même moins élégant.
Profitez-en pour enregistrer le SLIS4 lui-même dans la zone DNS locale, s’il ne l’est pas déjà.
Il vous suffit de recommencer la procédure précédente en indiquant cette fois-ci l’adresse IP locale
du SLIS4 (dans l’exemple de la figure 1.4 il s’agit de 192.168.71.1) et le nom que vous souhaitez
donner à votre SLIS4. Là aussi, faîtes simple au niveau des caractères utilisés : prenez slis comme
nom DNS, à nouveau c’est court et tout à fait explicite.
3. En principe, vous êtes censé(e) connaître le mot de passe associé à ce compte admin. Si jamais vous avez perdu
ce mot passe, postez un message sur le forum de l’académie de Versailles consacré au SLIS, en précisant bien votre
établissement. Ce mot de passe est indispensable pour la suite :
http://web2news.ac-versailles.fr/
→ puis cliquez sur Forums Versaillais
→ puis cliquez sur le forum ac-versailles.assistance-technique.slis
Page 4/208
Samba Édu 3
Figure 1.3 – Enregistrement DNS du nom du serveur Se3.
Après validation, toujours sur la même fenêtre, vous devriez avoir une Liste des machines enregistrées
dans la zone xxx.local qui ressemble à ce qui est indiqué sur la figure 1.4 (moyennant les adaptations
à faire suivant votre cas personnel).
Figure 1.4 – Liste des enregistrements DNS du domaine.
1.1.2
Réglage du pare-feu du serveur SLIS4
Nous allons maintenant paramétrer le pare-feu du SLIS4 afin que le LCS puisse initier des connexions avec le Se3 via le protocole LDAP (utilisant le port 389). En effet, comme nous verrons plus
loin, le Se3 sera l’annuaire unique du réseau pédagogique. Il contiendra (entre autres) la liste des
comptes du réseau pédagogique et le LCS se contentera de consulter l’annuaire du Se3 à la place de
son annuaire local. Rappelons au passage que le LCS est en réalité une machine virtuelle exécutée
au sein du serveur physique SLIS4 et dont l’adresse IP privée est toujours 192.168.78.6, aussi bien
dans l’exemple de la figure 1.5 que dans votre cas personnel.
Allez dans Sécurité → Pare-feu → Gestion du Pare-feu. Sous le bandeau Ajouter une nouvelle
règle, éditez la règle suivante :
•
•
•
•
•
Règle : ACCEPT.
Protocole : TCP.
(IP) Source : 192.168.78.6, c’est-à-dire l’adresse IP privée du LCS.
Masque (source) : 255.255.255.255.
Port (source) : all.
Page 5/208
Samba Édu 3
• (IP) Destination : mettez ici l’adresse IP de votre (futur) Se3, dans notre exemple il s’agit de
192.168.71.2.
• Masque (destination) : 255.255.255.255.
• Port (destination) : 389, c’est-à-dire le port correspondant à une connexion LDAP.
Vous devriez alors avoir une règle équivalente à celle donnée dans la figure 1.5 (seule l’adresse IP
de destination est peut-être différente et doit correspondre chez vous à l’adresse IP de votre futur
Se3). Pensez à cliquer sur Ajouter pour enregistrer cette nouvelle règle.
Figure 1.5 – Rèlge de pare-feu concernant le serveur LCS
Enfin, afin d’autoriser le Se3 à initier des connexions sur Internet sans passer par le proxy du SLIS4
(notamment pour qu’il puisse effectuer des mises à jour sans configuration au niveau du proxy), nous
allons effectuer sur le pare-feu du SLIS4 une dernière manipulation. Allez dans Sécurité → Pare-feu
→ Gestion du routage, puis ajouter deux règles équivalentes à celles indiquées sur la figure 1.6, où
vous aurez seulement remplacé l’adresse 192.168.71.2 (l’adresse IP du Se3 dans notre exemple)
par celle de votre futur serveur Se3. Pensez bien à cliquer sur Ajouter à chaque fois pour enregistrer
successivement ces deux nouvelles règles.
Figure 1.6 – Rèlge de pare-feu concernant le serveur Se3
1.1.3
Récupération d’informations importantes sur le LCS
Maintenant, vous allez devoir récupérer des informations importantes pour la suite concernant le
LCS. Pour ce faire, il faut vous connecter à la page d’accès en mode sans échec du LCS. On accède
simplement à cette page en ouvrant un navigateur Web sur un ordinateur du réseau pédagogique et
en utilisant l’adresse URL http://IP-DU-SLIS/setup/. N’oubliez pas le caractère slash à la fin de
l’adresse URL.
L’accès à cette page demande une authentification : le nom d’utilisateur est admin. Quant au mot
de passe. . . vous êtes censé(e) le connaître 4 . Souvent (mais pas toujours), il s’agit du même mot de
passe que vous utilisez quand vous vous connectez à la page d’administration Web du SLIS4 (celle
dont l’adresse URL est https://IP-DU-SLIS:1098).
Une fois que la page est affichée, allez au niveau du tableau Paramètres LDAP et faites un copiercoller dans un fichier texte des deux champs suivants :
4. Si vous avez perdu ce mot passe, là encore, postez un message sur le forum de l’académie de Versailles consacré
au SLIS en précisant bien votre établissement. Ce mot de passe est lui aussi indispensable pour la suite :
http://web2news.ac-versailles.fr/
→ puis cliquez sur Forums Versaillais
→ puis cliquez sur le forum ac-versailles.assistance-technique.slis
Page 6/208
Samba Édu 3
• le champ Dn de base de l’annuaire (ldap_base_dn) ;
• et le champ Mot de passe d’administrateur de l’annuaire (adminPw).
Dans l’académie de Versailles, le Dn de base sera d’une forme différente suivant la nature de votre
établissement :
• Si votre établissement est un collège et s’il s’appelle par exemple « collège Victor Hugo » alors
le Dn de base sera de la forme :
ou=clg-hugo-ville,ou=ac-versailles,ou=education,o=gouv,c=fr
• Si votre établissement est un lycée et s’il s’appelle par exemple « lycée Victor Hugo » alors le
Dn de base sera de la forme :
ou=lyc-hugo-ville,ou=ac-versailles,ou=education,o=gouv,c=fr
En fin de compte, seule la partie du Dn de base située entre le premier symbole égal et la première virgule va vous être utile pour la suite. Dans les deux exemples ci-dessus, cela correspond à
clg-hugo-ville ou lyc-hugo-ville. Bien sûr, ce ne sont que des exemples à adapter en fonction de
votre cas.
Quant au mot de passe adminPw, il se présente sous la forme d’une suite inintelligible de caractères
loin d’être facile à retenir.

1.1.4
Ne prenez pas le risque de saisir « à la main » ces deux champs, faites-en réellement un copier-coller dans un fichier texte.
Passage du LCS en annuaire autonome. . . momentanément
Il ne sera pas possible d’avoir une réplication d’annuaire entre le LCS et votre futur serveur Se3.
En effet, une réplication d’annuaire entre votre futur Se3 et le LCS peut entraîner des dysfonctionnements problématiques. Par conséquent, avant d’installer le Se3, il faut désactiver toute forme de
réplication (s’il en existe une) sur votre serveur LCS. Toujours sur la page d’accès en mode sans
échec du LCS, paramétrez :
• le champ Adresse du serveur LDAP (ldap_server) sur la valeur localhost
• le champ Etat du serveur de réplication (replica_status) sur la valeur 0 (le chiffre zéro)
• le champ Adresse IP du serveur de réplication (replica_ip) afin que celui-ci soit vide
Enfin cliquez sur Valider. Voilà, votre LCS consulte maintenant son annuaire local de manière
autonome et il ne risquera pas de perturber celui de votre futur serveur Se3.
Si cela peut vous rassurer, sachez qu’il sera possible de faire en sorte que les utilisateurs se
connectent avec les mêmes identifiants 5 sur le Se3 et le LCS. Pour ce faire, il suffira, quand le Se3
sera installé, de préciser au LCS d’aller consulter non pas son annuaire local mais celui du Se3.
Nous verrons cela plus loin dans la documentation une fois l’installation du Se3 terminée.
5. Ce sera possible moyennant l’écrasement complet des données des anciens comptes du LCS. Voir plus loin dans
la documentation.
Page 7/208
1.2
Samba Édu 3
Création du fichier d’installation pour Lenny
Voici la dernière 6 étape avant de passer à l’installation du serveur Se3 proprement dite. Avec
n’importe quel navigateur Web, allez à l’adresse suivante :
http://www.samba-edu.ac-versailles.fr/spip.php?article1
Puis cliquez sur le lien proposé à la fin de l’article. Vous vous retrouvez alors devant un formulaire
intitulé Générateur de fichier de configuration pour SambaEdu - Versailles qu’il faudra remplir très
soigneusement.
Il est capital pour la suite de renseigner correctement ce formulaire. Pour le
choix de certains noms, relisez bien l’encadré qui se trouve à la page 3 sur les
restrictions dans le choix des caractères.

Certes, ces restrictions sont très fortes et, pour être honnête avec vous, il est en
réalité possible d’en transgresser quelques-unes (dans une certaine mesure). Mais
si vous décidez de passer outre ces restrictions, vous prenez vos responsabilités.
Dans cette documentation, on supposera que vous respectez ces restrictions à la
lettre.
Nous allons expliquer les champs à remplir un par un en partant du haut. Pour certains d’entre
eux, la situation est différente suivant que le réseau pédagogique se trouve derrière un serveur LCS–
SLIS4 ou un serveur AMON.
• IP du serveur se3
Vous mettez l’adresse IP choisie pour votre futur serveur Se3.
1. Si votre futur Se3 est derrière un serveur LCS–SLIS4, alors vous avez lu la partie 1.1 et
cette question a déjà été traitée depuis longtemps.
2. En revanche, si votre futur Se3 est derrière un serveur AMON, alors il faudra choisir
une adresse IP en fonction de celle de la carte réseau côté réseau pédagogique du serveur
AMON, car c’est elle qui sera la passerelle par défaut de ce réseau local.
Si par exemple l’adresse IP de cette carte est 192.168.0.1, alors le réseau pédagogique est
a priori un réseau IP de type 192.168.0.0/24 et vous pouvez alors choisir 192.168.0.2
comme adresse IP du serveur Se3 (à condition, bien sûr, que cette adresse soit disponible,
c’est-à-dire utilisée par aucune machine du réseau pédagogique pour l’instant).
Autre exemple : si l’adresse IP de la carte réseau côté réseau pédagogique du serveur
AMON est 172.20.0.1, alors le réseau pédagogique est a priori un réseau IP de type
172.20.0.0/16 et vous pouvez alors choisir 172.20.0.2 comme adresse IP du serveur
Se3 (toujours si cette adresse est disponible bien sûr).
• Masque de sous-reseau
Il s’agit du nombre de bits du masque de l’adresse IP du réseau pédagogique. Ici encore, cette
valeur est totalement dictée par l’adresse IP de la passerelle par défaut du réseau pédagogique
(qui est soit le serveur SLIS4, soit le serveur AMON suivant votre cas).
6. Et aussi la première étape si vous installez le Se3 derrière le serveur AMON.
Page 8/208
Samba Édu 3
Si par exemple l’adresse IP de la passerelle (le SLIS4 ou le AMON peu importe) côté réseau
pédagogique est 192.168.0.1, alors le réseau pédagogique est a priori un réseau IP de type
192.168.0.0/24 et la valeur à indiquer est donc 24 dans ce cas.
Si par exemple l’adresse IP de la passerelle côté réseau pédagogique est 172.20.0.1, alors le
réseau pédagogique est a priori un réseau IP de type 172.20.0.0/16 et la valeur à indiquer est
donc 16 dans ce cas.
• Nom de la machine dans le domaine intranet
Il s’agit du nom DNS que vous voulez donner à votre futur serveur Se3.
1. Si celui-ci est derrière un serveur LCS–SLIS4, alors la question a déjà été traitée dans la
partie 1.1. Dans cette documentation, nous avions choisi le nom se3.
2. Si celui-ci est derrière un serveur AMON, alors c’est maintenant qu’il faut « couler dans le
marbre » le nom DNS de votre futur serveur Se3. Choisissez le nom que vous voulez. . . à
condition de respecter scrupuleusement les restrictions décrites dans le deuxième point de
l’encadré page 3. Un nom comme se3 par exemple n’est certes pas très original mais c’est
un très bon choix (court et explicite).
• Nom de domaine intranet
Il s’agit du nom DNS du domaine que constitue le réseau pédagogique.
1. Si le Se3 est derrière un serveur LCS–SLIS4, alors la question a déjà été traitée dans la
partie 1.1. Dans cette documentation, nous avions choisi hugo.local en guise d’exemple.
2. Si le Se3 est derrière un serveur AMON, alors c’est maintenant qu’il faut faire un choix.
Choisissez le nom que vous voulez. . . à condition encore une fois de respecter scrupuleusement les restrictions décrites dans le premier point de l’encadré page 3. Si votre établissement s’appelle le « lycée Victor Hugo », un nom de domaine comme hugo.local par exemple
est un très bon choix.
• Nom du SLIS
Ce champ formera une partie de la base DN de l’annuaire de votre futur serveur Se3.
1. Si celui-ci est derrière un serveur LCS–SLIS4, alors vous devez indiquer le morceau du
Dn de base que vous avez récupéré sur le LCS lors de la partie 1.1.3 page 6. Il ne faut
pas indiquer la totalité du Dn de base mais seulement la partie comprise entre le premier
symbole égal et la première virgule. Dans la partie 1.1.3, nous avions vu des exemples
comme clg-hugo-ville ou lyc-hugo-ville.
2. Si le Se3 est derrière un serveur AMON, alors mettez dans ce champ soit quelque chose
de la forme clg-xxx-yyy si vous êtes en collège, soit de la forme lyc-xxx-yyy si vous êtes en
lycée, avec :
– xxx une chaîne composée uniquement des caractères abc. . . z minuscules qui représente
le nom de votre établissement ou bien un raccourci de celui-ci.
– yyy une chaîne composée uniquement des caractères abc. . . z minuscules qui représente
le nom de la ville de votre établissement ou bien un raccourci de celui-ci.
Même si vous n’êtes techniquement pas limité(e) au niveau du nombre total de caractères,
évitez de faire trop long. Par exemple, si vous êtes au lycée « Saint Exupery dans la ville de
Saint-Rémy-en-Bouzemont-Saint-Genest-et-Isson », alors vous pouvez par exemple choisir
pour ce champ la valeur lyc-exupery-saintremy (pas d’accent, ni d’espace).
• IP locale du SLIS
Il ne faut pas s’y tromper. Il s’agit de l’adresse IP de la passerelle par défaut du réseau
pédagogique qui sera celle du SLIS4. . . si vous en avez un.
Page 9/208
Samba Édu 3
1. Si le Se3 est derrière un serveur LCS–SLIS4, alors cette adresse est l’adresse IP locale (côté
réseau pédagogique) du SLIS4.
2. Si le Se3 est derrière un serveur AMON, alors cette adresse est l’adresse IP locale (côté
réseau pédagogique) du serveur AMON.
• Mot de passe de l’administrateur de l’annuaire
1. Si le Se3 est derrière un serveur LCS–SLIS4, alors vous devez indiquer le Mot de passe
d’administrateur de l’annuaire (adminPw) que vous avez récupéré sur le LCS lors de la partie 1.1.3 page 6.
2. Si le Se3 est derrière un serveur AMON, alors vous pouvez indiquer le mot de passe de votre
choix. Par précaution, limitez-vous ici aux caractères abc. . . z minuscules ou majuscules
ainsi qu’aux chiffres. A priori, au quotidien, vous n’utiliserez jamais ce mot de passe.
• Mot de passe admin pour l’interface web et samba
Il s’agit du mot de passe du compte admin, compte d’administrateur du domaine Se3. C’est avec
ce compte que vous vous connecterez à l’interface d’administration Web du serveur Se3. C’est
un mot de passe que vous serez amené(e) à saisir relativement souvent. Vous pouvez indiquer le
mot de passe de votre choix. Par précaution, limitez-vous ici aux caractères abc. . . z minuscules
ou majuscules ainsi qu’aux chiffres 7 .
• Mot de passe root MySQL
Vous n’utiliserez jamais ce mot de passe au quotidien. Vous pouvez indiquer le mot de passe de
votre choix. Par précaution, limitez-vous ici aux caractères abc. . . z minuscules ou majuscules
ainsi qu’aux chiffres.
• Nom du domaine NetBios
Pour ce champ, indiquez en lettres majuscules la partie située à gauche de .local dans le nom
de domaine intranet que vous avez indiqué précédemment. Par exemple, si le nom de domaine
intranet qui a été choisi plus haut est hugo.local, alors le nom de domaine NetBios sera HUGO.
Sur la figure 1.7 page 11, vous pourrez voir un exemple de formulaire rempli dans le cas (fictif)
d’un lycée dont le serveur Se3 aura pour adresse IP 172.20.0.2 et dont la passerelle par défaut
sera 172.20.0.1 (qui peut être l’adresse IP du SLIS4 ou du AMON).
Après avoir bien relu votre saisie, cliquez sur envoyer. Vous allez alors obtenir un fichier au format
texte ayant pour nom setup_se3.data. Il faudra le garder précieusement.
1.3
Sauvegarde sous clé USB
Munissez-vous d’une clé USB et copiez à la racine de cette clé le fichier setup_se3.data. Celuici contient des informations nécessaires à l’installation du serveur Se3 (celles que vous avez saisies
dans le formulaire) et il faudra, via la clé USB, le copier sur le serveur Se3 le moment venu.

Tout au long de la vie de votre futur serveur Se3, gardez précieusement une
copie du fichier setup_se3.data dans une clé USB ou sur un disque dur externe.
En cas de crash, ce fichier sera nécessaire (mais pas suffisant) pour une éventuelle
restauration du serveur.
7. Vous pouvez utiliser aussi le caractère @ si vous voulez, et même d’autres caractère encore. . . En tout cas, évitez
les caractères accentués ainsi que le caractère espace.
Page 10/208
Samba Édu 3
Figure 1.7 – Exemple de saisie du formulaire.

Le fichier setup_se3.data est un simple fichier texte. Si vous souhaitez l’ouvrir,
voire l’éditer (même si vous n’avez aucune raison de le faire si vous avez bien
renseigné le formulaire précédemment), sous Windows n’utilisez surtout pas
Notepad. C’est un éditeur très peu évolué qui est susceptible de « corrompre »
le fichier. Choisissez un « vrai » éditeur de texte capable de reconnaître automatiquement l’encodage des caractères et des fins de ligne d’un fichier. Notepad2
ou Notepad++ par exemple savent très bien le faire.
Ensuite, avec n’importe quel navigateur Web, allez à l’adresse suivante :
http://www.samba-edu.ac-versailles.fr/spip.php?article59
Puis téléchargez le fichier install_se3.bash.zip joint à cet article. Décompressez ce fichier afin
d’obtenir le fichier install_se3.bash que vous allez ensuite copier lui-aussi à la racine de votre clé
USB. Le fichier install_se3.bash va de pair avec le fichier setup_se3.data car il s’agit d’un script
qui effectuera automatiquement une grande partie de l’installation du serveur Se3 en utilisant les
paramètres indiqués justement dans le fichier setup_se3.data.
Voilà, tout est prêt pour enfin commencer l’installation proprement dite du serveur Se3.
Page 11/208
1.4
Samba Édu 3
Création du fichier d’installation pour Squeeze
Pour pouvoir installer un serveur Se3 sous Debian Squeeze, il faut utiliser l’outil en ligne SE3 DInstaller qui va permettre de générer deux fichiers de configuration : se3.preseed et setup_se3.data.
Ces deux fichiers vont permettre une automatisation complète de l’installation d’un Se3 sous Debian
Squeeze. L’accès à l’outil de configuration en ligne se fait à partir de l’adresse suivante :
http://wawadeb.crdp.ac-caen.fr/diSE3/se3conf.php?dist=squeeze
La saisie des éléments sur cet outil en ligne est très importante car d’elle va découler la bonne
installation et le bon fonctionnement du serveur Se3.
1.4.1
Hôte et domaine
• Nom d’hôte : nom du serveur Se3 (samba, se3, se3pdc...).
• Domaine : nom du domaine local (il s’agit du nom de la zone locale gérée par le SLIS4. Si
rien n’a été modifié, il s’agit de intranet.local mais vous pouvez choisir un nom plus évocateur,
par exemple, le nom de l’établissement suivi de .local. Mais il faudra également l’indiquer au
SLIS4).
Figure 1.8 – Paramétrage de l’hôte et du domaine du serveur Se3
1.4.2
Mots de passe
• Super utilisateur : indication du mot de passe du super utilisateur root (celui-ci étant temporaire et sera changé au moment de l’installation du serveur Se3 sous Debian Squeeze, il est
possible de garder celui qui est proposé par défaut).
• Administrateur MySQL : mot de passe de l’administration de la base de données MySQL
(mot de passe aléatoire par défaut, mais possibilité d’en saisir un mais sans caractères spéciaux).
• RDN Administrateur LDAP : nom de l’administrateur de l’annuaire LDAP, c’est-à-dire de
la base DN (admin par défaut, à ne pas changer sous peine de dysfonctionnement surtout si
vous avez l’intention de coupler le serveur Se3 avec le serveur LCS).
• Admin annuaire LDAP : si vous avez un LCS, il faut copier-coller dans cette zone le mot
de passe de la ligne Mot de passe d’administrateur de l’annuaire (adminPw) figurant dans les
paramètres LDAP de ce serveur. Si vous avez un serveur AMON, vous pouvez laisser ce champ
en AUTO.
• Administrateur du SE3 : mot de passe de l’utilisateur admin. Éviter les caractères spéciaux
dans la saisie de ce mot de passe. Si vous laissez la valeur par défaut, il est fortement conseillé
de changer celle-ci une fois le serveur Se3 installé.
Page 12/208
Samba Édu 3
• Compte admin local XP / Seven : il s’agit du mot de passe du compte adminse3 (administrateur local des clients sous Windows XP et Seven). Éviter les caractères spéciaux dans la
saisie de ce mot de passe. Possibilité de garder la valeur par défaut (AUTO), donc un mot de
passe généré automatiquement lors de l’installation du serveur Se3, sauf en cas de migration
de serveur.
Figure 1.9 – Paramétrage des mots de passe

1.4.3
Il est souhaitable que les mots de passe des comptes root, admin et adminse3 soient
différents.
Partitions du disque Se3
• Partition RAID de type CCISS (serveur HP) : case à cocher pour certains types de
serveurs (notamment ceux de marque HP).
• Partition de type sda : case à cocher si la machine possède un contrôleur RAID (le noyau
Linux assimilera celui-ci comme un disque SDA).
• Une seule partition : case à ne pas cocher pour un serveur en production.
• Plusieurs partitions : méthode à privilégier sur un serveur en production.
– Partition racine / : à écrire en Mo (minimum 2 Go, c’est-à-dire 2000 Mo) ; possibilité
de conserver les valeurs proposées par défaut.
– Partition de swap / : partition d’échange entre la mémoire vive et le système disque
(taille comprise 100 et 200 pour cent de la mémoire vive du serveur).
– Partition Vol 0 : partition LVM (Logical Volume Manager) permettant de créer et de
gérer des volumes logiques sous Linux (il est conseillé de laisser les valeurs par défaut de
ce champ).
– Partition système /var : partition pour les éléments variables du système (10 Go, c’està-dire 10000 Mo, conseillé).
– Partition /var/se3 : emplacement des partages du serveur Se3 (Classes, Docs, Progs...) ;
il est conseillé de saisir le pourcentage (dernière valeur de ce champ) en fonction des choix
élaborés au sein de l’établissement (notamment en ce qui concerne l’utilisation du répertoire
Classes), 50 pour cent étant un bon compromis.
Page 13/208
Samba Édu 3
– Partition /home : emplacement des données personnelles des utilisateurs ; il est conseillé
de saisir le pourcentage (dernière valeur de ce champ) en fonction des choix élaborés au
sein de l’établissement (en liaison avec le pourcentage attribué à la partition /var/se3), 50
pour cent étant un bon compromis.
Figure 1.10 – Partitionnement des disques du serveur Se3
Page 14/208
1.4.4
Samba Édu 3
Service LDAP
• LDAP base DN : ou=type_etab-nom_etab-ville_etab,ou=ac-versailles,ou=education,ou=gouv,c=fr
(type_etab : clg, lyc, lp...) ; pour éviter les erreurs de saisie, il est préférable de copier-coller la
valeur du champ Dn de base de l’annuaire (ldap_base_dn) des paramètres LDAP du serveur
LCS.
• Domaine de courrier utilisateur LDAP : type_etab-nom_etab-ville_etab.ac-versailles.fr
(type_etab : clg, lyc, lp. . . ) si vous possédez un serveur LCS ; sinon nom_domaine.local.
Figure 1.11 – Service LDAP
1.4.5
Configuration réseau
• Interface Ethernet (ethx) : interface de la carte réseau (par défaut eth0, attention cependant
si le serveur possède plusieurs cartes réseau !).
• Passerelle par défaut : adresse IP de la passerelle ; 192.168.1.1 ou 172.20.0.1 (pour un serveur
SLIS4) - 192.168.1.246 ou 172.20.0.246 (pour un serveur AMON) ; valeurs à adapter selon la
configuration de votre réseau.
• Adresse IP : adresse IP du serveur Se3 ; 192.168.1.2 ou 172.20.0.2 ; valeurs à adapter selon la
configuration de votre réseau.
• Adresse du réseau : 192.168.1.0 ou 172.20.0.0 ; valeurs à adapter selon la configuration de
votre réseau.
• Adresse de diffusion : 192.168.1.255 ou 172.20.255.255 ; valeurs à adapter selon la configuration de votre réseau.
• Masque de sous-réseau : 255.255.255.0 ou 255.255.0.0.
• Serveur de nom primaire : adresse IP du serveur SLIS4 ou du serveur AMON.
• Serveur de nom secondaire : adresse IP du serveur SLIS4 ou du serveur AMON.
• Serveur de temps : adresse IP du serveur SLIS4 ou du serveur AMON.
Page 15/208
Samba Édu 3
Figure 1.12 – Configuration réseau du serveur Se3
1.4.6
Configuration de l’environnement du serveur Se3- Paramètres
serveurs annexes
• Existence d’un proxy sur le réseau : cochez Oui à l’utilisation d’un serveur proxy (même
si celui-ci est transparent).
• Adresse IP du serveur proxy : 192.168.1.1 ou 172.20.0.1 (pour un serveur SLIS4) - 192.168.1.246
ou 172.20.0.246 (pour un serveur AMON) ; valeurs à adapter selon la configuration de votre
réseau.
• port du proxy : valeur par défaut : 3128 (à ne pas modifier sauf si vous utilisez autre chose
qu’un serveur SLIS4 ou qu’un serveur AMON).
• Utilisation d’un serveur de communication LCS : cochez Oui si présence d’un SLIS4/LCS
sur votre réseau.
• Adresse IP du serveur LCS : 192.168.78.6 (si présence d’un SLIS4/LCS sur votre réseau).
Page 16/208
Samba Édu 3
Figure 1.13 – Configuration des serveurs annexes au serveur Se3
1.4.7
Configuration Se3- Paramètres de samba
• Installation auto de l’interface web : valeur Oui par défaut (sinon pas d’installation de
l’interface web).
• configuration auto du SE3 : valeur Oui par défaut (sinon pas de configuration automatique
du serveur Se3).
• adresse IP du LDAP (si annuaire distant) : champ à laisser vide normalement (sauf si
utilisation d’un annuaire LDAP implanté sur un autre serveur de votre réseau).
• Nom de Domaine Samba : nom du domaine samba (caractères spéciaux à éviter).
• Nom Netbios du serveur : nom du serveur Se3 au sens NetBIOS (15 caractères maximum,
de préférence des lettres et des chiffres).
Page 17/208
Samba Édu 3
Figure 1.14 – Paramétrage Samba
1.4.8
Conclusion
Après avoir cliqué sur le bouton Valider, vous obtenez un écran présentant le fichier de préconfiguration nécessaire pour l’installation du serveur Se3 sur une distribution GNU/Linux Debian
Squeeze avec un lien identique à celui-ci : http ://wawadeb.crdp.ac-caen.fr/diSE3/XXXX/se3.preseed
(où XXXX correspond à un dossier créé sur le serveur distant du CRDP de Caen), ainsi que le fichier
de paramétrage du serveur Se3 : http ://wawadeb.crdp.ac-caen.fr/diSE3/XXXX/setup_se3.data.
Page 18/208
Chapitre 2
Installation du serveur SambaÉdu3
Sommaire
2.1
Installation de Debian Lenny sur le serveur . . . .
2.1.1 CD-ROM d’installation . . . . . . . . . . . . . . . .
2.1.2 Démarrage du serveur via le CD-ROM d’installation
2.1.3 Partitionnement du ou des disques du serveur . . . .
2.1.4 Fin de l’installation de Debian Lenny . . . . . . . .
2.2 Installation de SambaÉdu3 sur la Debian Lenny . .
2.3 Installation de Debian Squeeze sur le serveur . . .
2.3.1 CD-ROM d’installation . . . . . . . . . . . . . . . .
2.3.2 Démarrage du serveur via le CD-ROM d’installation
2.4 Installation de SambaÉdu3 sur la Debian Squeeze .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . .
20
20
20
22
25
26
28
28
29
30
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
Samba Édu 3
L’installation d’un serveur Se3 se fait en deux temps : d’abord on installe le système d’exploitation
« Debian Lenny2.1 » ou « Debian Squeeze2.3 » sur le serveur et ensuite on installe quelques paquets
supplémentaires qui feront de notre système Debian un véritable serveur Se3. Nous allons expliquer
pas à pas la procédure à suivre.
2.1
2.1.1
Installation de Debian Lenny sur le serveur
CD-ROM d’installation
Il faut d’abord vous procurer l’image ISO qui va vous permettre de graver le CD-ROM d’installation du système Debian Lenny. Via un navigateur Web, allez sur cette page :
http://www.debian.org/releases/lenny/debian-installer/
Juste en dessous du titre images de CD d’installation par le réseau, vous avez une série de liens
vers des images ISO adaptées à différentes architectures microprocesseur. Parmi ces liens, vous
devez choisir entre :
• le lien amd64 si le microprocesseur de votre serveur est de type 64 bits ;
• ou bien le lien i386 si le microprocesseur de votre serveur est de type 32 bits.
Pour faire le bon choix, vous devez connaître le modèle du microprocesseur de votre serveur 1 .
Souvent, celui-ci est indiqué dans le BIOS du serveur. Vous pouvez tenter également une recherche
Google en indiquant le nom du modèle de votre serveur afin d’obtenir ses caractéristiques techniques.
Il est fort probable que l’installation via l’image ISO i386 fonctionne toujours même si votre serveur
possède un microprocesseur 64 bits, mais dans ce cas le système d’exploitation risque de ne pas gérer
la totalité de la mémoire RAM du serveur. Par conséquent, en cas de doute sur l’architecture de
votre serveur, tentez d’abord une installation avec l’image ISO amd64 : si votre serveur possède une
architecture 32 bits, il est très probable que vous ayez un message d’erreur assez parlant dès le
démarrage via le CD-ROM d’installation. Si cela se produit, cela signifie que votre serveur possède
une architecture 32 bits, rabattez-vous alors sur une installation via l’image ISO i386.
Nous supposons maintenant que vous avez gravé sur CD-ROM l’image ISO correspondant à
l’architecture de votre serveur.
2.1.2
Après avoir inséré le CD-ROM d’installation dans le lecteur, démarrez le serveur et faites en sorte
qu’il effectue son démarrage via le CD-ROM. Vous devriez obtenir alors une page d’accueil comme
celle de la figure 2.1 page 21.
Avec les flèches de votre clavier, dirigez-vous dans le menu Advanced options (tapez sur la touche
Entrée pour valider). Ensuite sélectionnez le mode Expert install. L’installation commence. Pour
vous déplacer, utilisez les flèches du clavier ainsi que la touche de tabulation.
1. L’appellation amd64 ne signifie pas que l’image ISO est réservée à des processeurs de marque AMD. C’est une
appellation purement historique car AMD a été le premier constructeur à fabriquer des processeurs 64 bits. Mais
INTEL fabrique également des processeurs 64 bits. Cette architecture a tendance d’ailleurs à se généraliser sur les
machines récentes.
Page 20/208
Samba Édu 3
Figure 2.1 – Page d’accueil du CD-ROM d’installation de Debian Lenny.
• Sélectionnez d’abord le menu Choose language.
– Choisissez French.
– Pour le lieu géographique choisissez France.
– Concernant les Paramètres régionaux, choisissez fr_FR.UTF-8.
– Concernant les Autres paramètres régionaux, ne cochez rien et passez directement sur Continuer
avec la touche de tabulation.
• Sélectionnez ensuite le menu Choisir la disposition du clavier.
– Choisissez alors le Clavier de type PC.
– Puis choisissez Français (fr-latin9).
• Sélectionnez ensuite le menu Détecter et monter le CD.
– Laissez alors coché l’item usb-storage (USB storage). Dirigez-vous sur Continuer avec la
touche de tabulation.
– À la question Faut-il démarrer les services de cartes PC ?, répondez Oui.
– Concernant la question Options de plage de ressources pour PCMCIA, laissez le champ vide
et dirigez-vous sur Continuer avec la touche de tabulation.
– Si tout va bien, un message vous indique ensuite que le CD a été détecté. Passez alors à la
suite.
• Sélectionnez ensuite le menu Charger des composants d’installation à partir du CD. Ne cochez
alors aucun composant (nous allons effectuer une installation minimaliste du système Debian
Lenny) et dirigez-vous sur Continuer avec la touche de tabulation.
Page 21/208
Samba Édu 3
• Sélectionnez ensuite le menu Détecter le matériel réseau. Vous n’aurez en principe aucune information à saisir.
• Sélectionnez ensuite le menu Configurer le réseau.
– À la question Faut-il configurer le réseau avec DHCP ?, répondez Non.
– Ensuite, il vous faudra successivement renseigner l’adresse IP du serveur Se3, le masqueréseau et l’adresse IP de la passerelle par défaut. En principe, tous ces paramètres ont été
choisis dans le chapitre précédent lors de la saisie du formulaire générateur de fichier de
configuration pour SambaEdu. Il faut bien sûr indiquer les mêmes valeurs : l’adresse IP de
la passerelle est, ou bien celle du serveur SLIS4, ou bien celle du serveur AMON suivant
votre cas. Il vous est demandé également l’adresse IP d’un serveur de noms 2 . Ici aussi,
vous précisez soit l’adresse IP du serveur SLIS4, soit celle du serveur AMON suivant votre
cas.
– Relisez bien le résumé qui est affiché à la fin avant de valider par Oui.
– Pour le Nom de machine 3 , précisez le nom qui a été choisi dans le chapitre précédent.
– Même chose pour le Domaine où vous précisez le nom DNS du domaine 4 .
• Sélectionnez ensuite le menu Configurer l’horloge.
– À la question Faut-il utiliser NTP pour régler l’horloge ?, répondez Oui.
– En principe, un nom de serveur NTP vous sera proposé par défaut. Vous pouvez conserver
ce choix ou bien, si vous possédez un SLIS4, vous pouvez indiquer également l’adresse IP
du SLIS4.
– L’installateur devrait ensuite reconnaître automatiquement que vous êtes dans le fuseau
horaire Europe/Paris. Bien sûr, vous validez ce paramètre.
• Sélectionnez ensuite le menu Détecter les disques. Vous n’avez rien à indiquer durant cette
étape.
• Sélectionnez ensuite le menu Partitionner les disques. Choisissez alors la méthode manuelle
comme méthode de partitionnement.
Le partitionnement étant un point important de l’installation, nous allons lui consacrer une section
à part.
2.1.3

Partitionnement du ou des disques du serveur
Attention, nous nous plaçons dans le cadre d’une primo-installation où toutes
les données se trouvant sur les disques du serveur seront effacées.
Après avoir choisi la méthode de partitionnement manuelle, si jamais les disques du serveur
n’étaient pas déjà partitionnés, répondez Oui à la question Créer une nouvelle table de partitions
(msdos). Vous devriez voir alors la liste des disques du serveur, appelés en général sda, sdb, sdc etc.,
avec en dessous de chacun la liste des partitions présentes s’il en existe. Placez le curseur sur chacun
2. Autrement dit un serveur DNS.
3. Il ne s’agit pas du nom FQDN comme dans se3.hugo.local, mais du nom DNS sans le nom du domaine, ce qui
correspond simplement à se3 dans le cas d’un FQDN de la forme se3.hugo.local.
4. Si le nom FQDN du serveur est se3.hugo.local, alors le nom du domaine est hugo.local.
Page 22/208
Samba Édu 3
des disques (c’est-à-dire sur les lignes ayant la mention sda, sdb, sdc etc.) et appuyez sur Entrée. À la
question Faut-il créer une nouvelle table des partitions sur ce disque ?, répondez Oui et choisissez
msdos comme Type de la table des partitions.
L’objectif sera de créer successivement, et dans cet ordre, les cinq partitions suivantes :
1. Une partition d’espace d’échange (swap) avec pour caractéristique :
• Taille = taille de la mémoire RAM du serveur
2. Une partition formatée en le système de fichiers ext3 avec pour caractéristiques :
• Point de montage = le dossier /
• Taille = 10 GB
• Indicateur d’amorçage = présent
3. Une partition formatée en le système de fichiers ext3 avec pour caractéristiques :
• Point de montage = le dossier /var
• Taille entre 10 GB et 20 GB
4. Une partition formatée en le système de fichiers XFS avec pour caractéristiques :
• Point de montage = le dossier /var/se3
• Taille = la plus grande possible
5. Une partition formatée en le système de fichiers XFS avec pour caractéristiques :
• Point de montage = le dossier /home
• Taille = la plus grande possible
La taille des deux dernières partitions dépendra de l’espace disponible après avoir créé les trois
premières, ainsi que du nombre de disques dont dispose le serveur. Sachez que la partition montée
sur le dossier /var/se3 contiendra les données partagées dans les dossiers « classes » ainsi que les
applications déployées via le module wpkg, alors que la partition montée sur le dossier /home contiendra
les données des utilisateurs du domaine Se3.
Voici des exemples combinaisons possibles en fonction du nombre de disques durs sur le serveur :
1. Avec un seul disque, vous pouvez procéder comme ci-dessous.
a. sur le disque sda, vous créez successivement :
• la partition swap de la taille de la RAM
• la partition / en ext3 d’une taille de 10 GB
• la partition /var en ext3 d’une taille entre 10 et 20 GB
• les partitions /var/se3 et /home en XFS, chacune occupant 50 % de la place restante 5
2. Avec deux disques, vous pouvez procéder comme ci-dessous.
• la partition /var/se3 en XFS en lui attribuant toute la place restante
b. sur le disque sdb, vous créez :
5. En procédant de la sorte, si vous estimez que la taille de la partition /home est trop petite, alors vous pouvez
parfaitement réduire la taille de la partition /var/se3 pour l’octroyer à la partition /home. Tout ça est une affaire de
dosage. . .
Page 23/208
Samba Édu 3
• la partition /home en XFS sur la totalité du disque
3. Avec trois disques, vous pouvez vous payer le luxe de procéder comme ci-dessous.
• la partition /home/admin 6 en XFS lui attribuant toute la place restante
b. sur le disque sdb, vous créez :
• la partition /var/se3 en XFS sur la totalité du disque
c. sur le disque sdc, vous créez :
• la partition /home en XFS sur la totalité du disque
En pratique, pour créer une partition sur un disque donné, placez le curseur sur la ligne portant
la mention Espace libre se trouvant dans le sous-menu correspondant au disque en question, puis
appuyez sur Entrée. Choisissez alors Créer une nouvelle partition. Ensuite :
• Indiquez sa taille. Utilisez GB pour indiquer des Giga-octets ou MB s’il s’agit de Méga-octets.
Vous pouvez utiliser max si vous voulez que la partition occupe toute la place restant sur le
disque.
• Indiquez le Type de la nouvelle partition. Choisissez Primaire pour les trois premières partitions
d’un disque donné, puis Logique pour les suivantes, s’il y en a.
• Pour l’emplacement de la nouvelle partition, choisissez toujours Début.
• Ensuite, dans les Caractéristiques de la partition, il vous faudra paramétrer les champs suivants :
– Pour le champ Utiliser comme, il faudra indiquer swap, ext3 ou XFS suivant le cas.
– Pour le champ Formater la partition, il faudra indiquer oui, formater 7 .
– Pour le champ Point de montage, il faudra indiquer /, /var, /var/se3 ou /home suivant le cas.
– Le champ Indicateur d’amorçage devra toujours être paramétré sur absent, sauf pour la
partition montée sur / où il devra être paramétré sur présent.
– Les autres champs pourront être laissés tel quel.
• Quand votre partition est correctement configurée, validez le tout en allant dans Fin du paramétrage
de cette partition.
Fort(e) de toutes ces indications, procédez maintenant au partitionnement de chaque disque du
serveur en créant les partitions dans l’ordre indiqué en page 23, en commençant par le disque sda,
puis sdb etc. Si jamais vous vous trompez, vous pouvez parfaitement supprimer une ou des partitions
afin de les récréer correctement ensuite 8 . Une fois que toutes vos partitions sont bien paramétrées,
allez dans Terminer le partitionnement et appliquer les changements. Une ultime confirmation vous
est demandée à travers la question Faut-il appliquer les changements sur les disques ?. Répondez
Oui. Une fois le partitionnement réalisé par l’installateur, vous retournez alors dans le menu principal.
6. L’utilisateur admin du domaine Se3 est un compte que vous allez utiliser souvent pour administrer le réseau
pédagogique et il peut être judicieux que ce compte dispose d’une partition pour lui seul afin d’y stocker ses données.
7. Lors d’une restauration du serveur, il est souvent très utile de ne pas formater une partition et de configurer
ce champ sur la valeur non, conserver les données. Ainsi, après la réinstallation du serveur, on peut récupérer une
partition en l’état : par exemple on peut récupérer l’intégralité du /home du serveur ce qui correspond tout même à
l’ensemble des données des utilisateurs du réseau pédagogique.
8. En fait, absolument aucune action n’est réalisée sur les disques du serveur tant que l’ensemble du partitionnement n’a pas été validé par vos soins.
Page 24/208
2.1.4
Samba Édu 3
Fin de l’installation de Debian Lenny
Le partitionnement est de loin la partie la plus difficile. Vous pouvez reprendre maintenant le fil
du menu principal.
• Sélectionnez le menu Installer le système de base.
– L’installation commence via le CD-ROM uniquement 9 . Concernant le Noyau à installer,
validez le choix par défaut.
– Concernant les Pilotes à inclure sur l’image disque en mémoire, laissez également le choix
par défaut.
• Sélectionnez ensuite le menu Créer les utilisateurs et choisir les mots de passe.
– À la question Faut-il activer les mots de passe cachés ?, répondez Oui.
– À la question Faut-il autoriser les connexions du superutilisateur ?, répondez Oui.
– Il vous est demandé ensuite de saisir le mot de passe root. Choisissez un mot de passe de huit
caractères au moins, mélangeant au moins majuscules, minuscules et chiffres. Attention,
n’y mettez ni caractère accentué ni espace.

Le mot de passe root est très important et il faudra le conserver précieusement tout au long de la durée de vie du serveur.
– Après avoir confirmé une deuxième fois le mot de passe root, répondez Non à la question
Faut-il créer un compte d’utilisateur ordinaire maintenant ?.
• Sélectionnez ensuite le menu Configurer l’outil de gestion des paquets.
– À la question Faut-il utiliser un miroir sur le réseau ?, répondez Oui.
– Comme Protocole de téléchargement des fichiers, choisissez http. Choisissez ensuite Saisie
manuelle : et indiquez archive.debian.org 10 , puis /debian.
– Laissez ensuite le champ vide concernant le Mandataire HTTP.
– À la question Souhaitez-vous utiliser des logiciels non libres ?, répondez Non.
– À la question Souhaitez-vous utiliser les logiciels de la section « contrib » ?, répondez
Oui.
– Ensuite, concernant les Services à utiliser, avec la barre espace, cochez les mises à jour
de sécurité et les paquets « volatils ».
• Sélectionnez ensuite le menu Choisir et installer des logiciels.
– À la question Souhaitez-vous participer à l’étude statistique... ?, répondez comme bon
vous semble.
– Lorsque vous devez ensuite indiquer les Logiciels à installer, laissez uniquement coché
Système standard.
– L’installation va alors se poursuivre mais cette fois-ci via des téléchargements de paquets
par le réseau. Cela peut donc prendre du temps suivant le débit de votre connexion Internet.
• Sélectionnez ensuite le menu Installer le programme de démarrage GRUB sur le disque dur.
– À la question Install GRUB 2 instead of GRUB Legacy?, répondez Non.
9. Le réseau n’est pas sollicité durant cette étape.
10. Cette procédure est uniquement valable pour Lenny, dont les miroirs sont passés en archives depuis la sortie de
Debian Squeeze.
Page 25/208
Samba Édu 3
– À la question Installer le programme de démarrage GRUB sur le secteur d’amorçage ?, répondez Oui.
– Concernant le Mot de passe GRUB, laissez le champ vide.
• Enfin, sélectionnez le menu Terminer l’installation.
– À la question L’horloge système est-elle à l’heure universelle (UTC) ?, répondez Oui.
– Vous avez ensuite un message vous indiquant que l’installation est terminée. Pensez alors
à retirer le CD-ROM d’installation du lecteur, puis allez sur Continuer afin de lancer un
redémarrage du serveur.
Le serveur devrait redémarrer normalement via son disque dur et afficher une invite de connexion
se terminant par login:. Vous avez maintenant un système Debian Lenny installé sur le serveur.
Dans la partie suivante, nous allons voir la procédure permettant d’installer les paquets se3 sur le
système Debian Lenny pour en faire un véritable serveur SambaÉdu3.
2.2
Installation de SambaÉdu3 sur la Debian Lenny
Connectez-vous au serveur via le compte root 11 . Il va falloir copier sur le serveur les deux fichiers
setup_se3.data et install_se3.bash que vous avez placés à la racine de votre clé USB lors de la section 1.3 page 10. Pour ce faire, il va falloir exécuter quelques lignes de commandes. Par convention
et afin d’éviter toute ambiguïté dans les commandes décrites ci-dessous, un espace sera systématiquement représenté par le caractère « ». Une fois que vous êtes connecté(e) au serveur via le
compte root, tapez la commande :
ls /dev/sd*
Vous devriez voir en retour une liste de fichiers de la forme /dev/sda, /dev/sda1, /dev/sda2 etc. Ces
fichiers représentent :
• les disques du serveur pour les fichiers de la forme /dev/sda, /dev/sdb etc. Si par exemple votre
serveur possède trois disques physiques, alors vous aurez trois fichiers /dev/sda, /dev/sdb et
/dev/sdc.
• les partitions sur les disques pour les fichiers de la forme /dev/sda1, /dev/sda2 etc. Si par exemple
le disque /dev/sda possède quatre partitions, alors vous aurez quatre fichiers /dev/sda1, /dev/sda2,
/dev/sda3 et /dev/sda4.
Repérez bien cette liste de fichiers puis insérer votre clé sur un des ports USB du serveur. Attendez
quelques secondes, puis relancez la même commande que précédemment :
ls /dev/sd*
U
Le shell mémorise les commandes saisies par l’utilisateur. Si vous voulez relancer
la commande tapée précédemment, appuyez sur la flèche du haut de votre clavier
puis sur Entrée. En appuyant plusieurs fois de suite sur la flèche du haut vous
pourrez remonter dans l’historique des commandes exécutées.
11. Lors de la saisie du mot de passe, aucun caractère ne va s’afficher, pas même un astérisque. C’est normal,
saisissez malgré tout votre mot de passe et validez en appuyant sur la touche Entrée.
Page 26/208
Samba Édu 3
Parmi la liste des fichiers, au moins un nouveau venu devrait avoir fait son apparition. Il s’agit du
fichier représentant votre clé USB fraîchement connectée au serveur. Par exemple si vous aviez à la
base deux disques sur le serveur, à savoir /dev/sda et /dev/sdb, depuis l’insertion de votre clé USB, le
fichier /dev/sdc représentant la clé USB devrait avoir fait son apparition éventuellement accompagné
de sa partition /dev/sdc1 (mais pas toujours). Montez alors la clé USB via la commande :
mount -t auto /dev/sdc1 /mnt
où vous remplacerez /dev/sdc1 par le fichier représentant la partition de votre clé USB qui est
apparue suite au branchement de celle-ci. Si jamais seul le fichier /dev/sdc est apparu (pas de fichier
/dev/sdc1), alors utilisez ce fichier là pour exécuter la commande précédente.
Vérifiez que la clé USB est bien montée. La commande :
ls /mnt
devrait lister le contenu de votre clé USB et vous devriez y trouver notamment les deux fichiers
setup_se3.data et install_se3.bash. Si ce n’est pas le cas sur votre serveur, cela signifie que la clé
USB n’a pas été montée correctement lors de la commande « mount ». Il faudra alors refaire une
nouvelle tentative. Inutile de passer à la suite tant que la commande ls /mnt ne retourne pas le
contenu de votre clé USB.
Maintenant que le contenu de votre clé USB est accessible, vous allez copier les deux fichiers
setup_se3.data et install_se3.bash dans le dossier /root du serveur par l’intermédiaire des deux
commandes ci-dessous :
cp /mnt/setup_se3.data /root
cp /mnt/install_se3.bash /root
Vérifiez alors que les deux fichiers se trouvent bien maintenant dans le dossier /root via la commande :
ls /root
qui devrait vous afficher les noms de deux fichiers setup_se3.data et install_se3.bash. Si c’est bien
le cas, alors vous pouvez démonter la clé USB via la commande :
umount /mnt
Vous pouvez alors débrancher votre clé USB du serveur. Tout est en place maintenant, vous pouvez
lancer la commande suivante qui va installer et configurer les paquets se3 sur le serveur :
bash install_se3.bash
L’exécution de cette commande peut prendre du temps car elle installe un certain nombre de paquets
via le réseau. Le temps d’exécution de cette commande sera donc en partie fonction du débit de
votre connexion Internet. L’installation ne nécessitera votre intervention qu’à un seul moment : lors
de la Configuration du compte adminse3. Il vous sera en effet demandé le mot de passe du compte
adminse3. Ce compte sera à la fois un compte du domaine Se3 et à la fois un compte administrateur
local de toutes les machines Windows intégrées au domaine Se3. Le choix de ce mot de passe est
très important.
Page 27/208

Samba Édu 3
Le mot de passe du compte adminse3 est un mot de passe sensible et assez
pénible à modifier. Ne prenez aucun risque et utilisez uniquement pour ce mot
de passe les caractères abc. . . z minuscules et majuscules ainsi que les caractères
0123456789. Et c’est tout ! Par conséquent, pas d’espace et pas de caractère
accentué dans ce mot de passe.
Évidemment, ce mot de passe devra être précieusement conservé tout au long
de la durée de vie du serveur.
Au bout de quelques minutes 12 , le serveur redémarrera de lui-même une fois les installations
terminées. Connectez-vous alors une dernière fois avec le compte root et tapez la commande :
se3_update_system.sh
afin de mettre à jour le système 13 . Si des versions plus récentes de paquets peuvent être installées,
alors une confirmation vous sera demandée. Une fois la mise à jour terminée, pour fermer votre
session root sans pour autant redémarrer le serveur, tapez :
exit
Voilà, si vous êtes arrivé(e) à ce stade, alors félicitations, vous avez installé votre serveur SambaÉdu3.
2.3
2.3.1
Installation de Debian Squeeze sur le serveur
CD-ROM d’installation
Il faut d’abord vous procurer l’image ISO qui va vous permettre de graver le CD-ROM d’installation du système Debian Squeeze. Via un navigateur Web, allez sur cette page :
http://www.debian.org/releases/squeeze/debian-installer/
Juste en dessous du titre images de CD d’installation par le réseau, vous avez une série de liens
vers des images ISO adaptées à différentes architectures microprocesseur. Parmi ces liens, vous
devez choisir entre :
• le lien amd64 si le microprocesseur de votre serveur est de type 64 bits ;
• ou bien le lien i386 si le microprocesseur de votre serveur est de type 32 bits.
Nous supposons maintenant que vous avez gravé sur CD-ROM l’image ISO correspondant à l’architecture de votre serveur.
12. Si vous constatez des erreurs au niveau du démarrage du service DHCP, pas de panique. Ces erreurs sont tout
à fait normales : le service DHCP n’arrive pas a démarrer car celui-ci n’a pas été encore configuré. Il le sera par vos
soins plus loin dans la documentations.
13. Si vous voyez une erreur à la fin de la commande de la forme Can’t send mail: sendmail process failed with error
code 1, pas de panique : le serveur Se3 essaye d’envoyer un mail de compte rendu mais n’y arrive pas ce qui est normal
car nous n’avons pas encore paramétré l’adresse mail de l’administrateur du système Se3. Ce sera fait plus loin dans
la documentation.
Page 28/208
2.3.2
Samba Édu 3
Après avoir inséré le CD-ROM d’installation dans le lecteur, démarrez le serveur et faites en sorte
qu’il effectue son démarrage via le CD-ROM. Vous devriez obtenir alors une page d’accueil comme
celle de la figure ?? page ??.
Figure 2.2 – Page d’accueil du CD-ROM d’installation de Debian Squeeze.
Avec les flèches de votre clavier, dirigez-vous dans le menu Graphical install, puis tapez sur la
touche Tabulation du clavier : une ligne de texte apparaît. Avec les flèches du clavier, amenez le
curseur avant –quiet et tapez l’url fournie lors de la création du fichier de réponse 1.4.
Attention le clavier est qwerty. Les correspondances en clavier Azerty sont
ci-dessous :

Lettre
A
Z
Q
W
M
/
:
.
Sur un clavier Azerty
Q
W
A
Z
,
!
Maj M
:
Page 29/208
Samba Édu 3
Cette url est de la forme http://wawadeb.crdp.ac-caen.fr/diSE3/XXX/se3.preseed ou XXX
est une suite de caractères propres à votre établissement.
Bien vérifier ce qui a été saisi et faites <entrée>.
Des questions vont être posées jusqu’à la configuration IP. À ce moment, l’ordinateur sera en
mesure de récupérer le fichier se3.preseed et l’« installer » ne posera plus de questions.
• Menu Select a language.
– Choisissez French.
– Pour le lieu géographique choisissez France.
• Menu Choix de votre situation géographique.
– Choisissez France.
• Menu Configurer le clavier.
– Choisissez Français.
• Menu Configurer le réseau.
– À la question Faut-il configurer le réseau avec DHCP ?, répondez Non.
– Ensuite, il vous faudra successivement renseigner l’adresse IP du serveur Se3, le masqueréseau et l’adresse IP de la passerelle par défaut. En principe, tous ces paramètres ont été
choisis dans le chapitre précédent lors de la saisie du formulaire générateur de fichier de
configuration pour SambaEdu. Il faut bien sûr indiquer les mêmes valeurs : l’adresse IP de
la passerelle est, ou bien celle du serveur SLIS4, ou bien celle du serveur AMON suivant
votre cas. Il vous est demandé également l’adresse IP d’un serveur de noms 14 . Ici aussi,
vous précisez soit l’adresse IP du serveur SLIS4, soit celle du serveur AMON suivant votre
cas.
– Relisez bien le résumé qui est affiché à la fin avant de valider par Oui.
– Pour le Nom de machine 15 , précisez le nom qui a été choisi dans le chapitre précédent.
– Même chose pour le Domaine où vous précisez le nom DNS du domaine 16 .
L’installation va maintenant se dérouler automatiquement, jusqu’à la demande de redémarrage.
2.4
Installation de SambaÉdu3 sur la Debian Squeeze
Connectez-vous au serveur via le compte root 17 et le mot de passe provisoire défini lors de la
création du fichier se3.preseed.
L’installation de la partie SE3 commence automatiquement. Le script vous demandera simplement le nouveau mot de passe root qui être différent de celui défini lors de la création du fichier
se3.preseed.
Voilà, si vous êtes arrivé(e) à ce stade, alors félicitations, vous avez installé votre serveur SambaÉdu3.
14. Autrement dit un serveur DNS.
15. Il ne s’agit pas du nom FQDN comme dans se3.hugo.local, mais du nom DNS sans le nom du domaine, ce qui
correspond simplement à se3 dans le cas d’un FQDN de la forme se3.hugo.local.
16. Si le nom FQDN du serveur est se3.hugo.local, alors le nom du domaine est hugo.local.
17. Lors de la saisie du mot de passe, aucun caractère ne va s’afficher, pas même un astérisque. C’est normal,
saisissez malgré tout votre mot de passe et validez en appuyant sur la touche Entrée.
Page 30/208
Samba Édu 3
Vous pouvez fermer votre session root sans pour autant redémarrer le serveur, en tapant :
exit
Page 31/208
Chapitre 3
Configurations post-installation
Sommaire
3.1
Réglages côté serveur SambaÉdu3 . . . . . . . . . .
3.1.1 L’interface d’administration Web du serveur . . . . .
3.1.2 Choisir le niveau de l’interface . . . . . . . . . . . .
3.1.3 Vérifier l’état du serveur . . . . . . . . . . . . . . . .
3.1.4 Configuration de l’expédition des messages système .
3.2 Réglages côté serveur LCS. . . si vous en avez un . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . .
33
33
33
34
35
36
CHAPITRE 3. CONFIGURATIONS POST-INSTALLATION
3.1
3.1.1
Samba Édu 3
Réglages côté serveur SambaÉdu3
L’interface d’administration Web du serveur
Maintenant, nous allons laisser de côté la ligne de commandes. Il est désormais possible de configurer le serveur Se3 depuis n’importe quel poste client sur le réseau pédagogique avec un simple
navigateur Web. Il suffit de se rendre sur la page d’administration Web du Se3 accessible à l’adresse
suivante :
http://IP_du_Se3:909

Si vous utilisez un proxy pour accéder à cette adresse, la connexion à votre
serveur par ce biais là vous sera peut-être refusée. La solution consiste alors à
ajouter l’adresse IP du serveur et son nom DNS aux exceptions du proxy dans
les préférences de votre navigateur (« ne pas utiliser le proxy pour. . . »).
Si le réseau pédagogique se trouve derrière un pare-feu SLIS4, alors celui-ci fait office de serveur
DNS pour le domaine local constitué par le réseau pédagogique. Dans ce cas, vous pourrez également
accéder à la page d’administration Web du Se3 via l’adresse 1 :
http://nom_DNS_du_Se3:909
Une fois que vous vous trouvez sur la page d’accueil du serveur Se3, si celle-ci ne s’affiche pas
correctement, cliquez sur le bouton de déconnexion indiqué sur la figure 3.1. Vous devriez alors être
en mesure de vous authentifier. Pour administrer le serveur Se3, il faudra vous connecter avec le
compte admin 2 dont avez indiqué le mot de passe lorsque vous avez rempli le formulaire Générateur
de fichier de configuration pour SambaEdu lors de la section 1.2 page 8. Ce mot de passe est indiqué
dans le fichier setup_se3.data au niveau de la ligne commençant par SE3PW 3 .
3.1.2
Choisir le niveau de l’interface
Une fois connecté(e), la première chose à faire est de régler le niveau de l’interface à Expérimental
afin de bénéficier de toutes les fonctionnalités. Dans le menu de gauche, cliquez sur Configuration
générale → Paramètres du serveur. Au niveau du champ Niveau d’interface, cliquez sur Débutant. Un
menu déroulant apparaît, sélectionnez alors Expérimental. À la suite de cette manipulation, le menu
principal à gauche devrait être plus riche.
1. Hélas, cela ne fonctionnera pas si le réseau pédagogique se trouve derrière le serveur AMON et il faudra vous
contenter de l’adresse IP du Se3.
2. Un professeur ou un élève pourra aussi se connecter à cette page avec ses propres identifiants mais bien sûr il
n’aura pas les mêmes droits que le compte admin.
3. De toute façon, désormais vous avez intérêt à connaître ce mot de passe par cœur.
Page 33/208
Samba Édu 3
Figure 3.1 – Cliquez sur le bouton déconnexion si la page d’accueil ne s’affiche pas correctement.
3.1.3
Vérifier l’état du serveur
Pour vérifier l’état du serveur, dans le menu principal cliquez sur Informations système → Diagnostic.
La page devrait alors mettre quelques secondes à se charger. Si vous avez bien suivi cette documentation, tout devrait être au vert sauf éventuellement les champs ci-dessous :
• Importation des clés : c’est tout à fait normal, nous n’avons pas encore effectué la mise à jour
de la base de clés de registre Windows. Ce point là, absolument pas essentiel pour le bon
fonctionnement du réseau pédagogique, sera vu plus loin dans la documentation. Toutefois, si
ce bouclier rouge vous chagrine alors cliquez dessus. Une nouvelle page s’affiche sur laquelle vous
allez cliquez sur Effectuer la mise à jour de la base de clés. Vous vous retrouvez encore sur
une nouvelle page tout en bas de laquelle se trouve le bouton Prêt pour l’importation des clés
nouvelles. Cliquez sur ce bouton (laissez tous les items cochés). Patientez quelques secondes,
puis retournez à la page de Diagnostic, le bouclier correspondant au champ Importation des
clés devrait être vert désormais.
• Vérifie la connexion au serveur de temps : ce point là est très important car votre serveur Se3
doit absolument avoir une horloge bien réglée. En fait ce champ aura en principe un bouclier
vert si le réseau pédagogique se trouve derrière un SLIS4, mais le bouclier sera probablement
rouge si le réseau se trouve derrière un AMON. Quoi qu’il en soit, si ce bouclier est vert ne
faites rien et passez à la suite, s’il est rouge c’est que l’adresse IP spécifiée correspond à un
hôte n’offrant pas le service « serveur de temps ». Vous devez alors indiquer un autre serveur
de temps. Dans le menu principal à gauche, allez dans Configuration générale → Paramètres
serveur. Dans la page, recherchez le champ Serveur de temps et cliquez sur la valeur associée
(qui est en principe l’adresse IP de votre passerelle). Vous pouvez alors éditer la valeur de ce
champ. Mettez la valeur 1.fr.pool.ntp.org puis cliquez sur Ok. Retournez ensuite sur la page
de Diagnostic, le bouclier correspondant au champ Vérifie la connexion au serveur de temps
devrait être vert désormais.
• Etat du serveur DHCP : il est tout à fait normal que ce champ ne soit pas au vert car vous
n’avez pas encore configuré ce service. Le service DHCP est un service crucial pour le bon
fonctionnement du réseau pédagogique et il sera étudié plus loin dans la documentation.
• Onduleur : il est également tout à fait normal que ce champ ne soit pas au vert car vous n’avez
pas encore configuré ce périphérique. Bien sûr, si votre serveur ne possède pas d’onduleur alors
Page 34/208
Samba Édu 3
vous ne faites rien et vous passez à la suite 4 . Si vous possédez un onduleur alors il faut d’abord le
brancher sur votre serveur. Par précaution, effectuez ce branchement une fois le serveur éteint :
pour ce faire, allez dans Configuration générale → Action serveur, puis cliquez sur Stopper le
serveur. Une fois le branchement effectué correctement, vous pouvez redémarrer manuellement le
serveur. Ensuite, connectez-vous à nouveau sur l’interface d’administration Web du Se3 5 , puis
allez dans Configuration générale → Onduleur. Choisissez successivement la marque de l’onduleur
puis le nom du modèle. L’installation est en principe automatique. Retournez ensuite sur la
page de Diagnostic, le bouclier correspondant au champ Onduleur devrait être vert désormais.

3.1.4
Si jamais le champ Mise à jour de votre serveur Se3 situé en haut de la page
Diagnostic est rouge, évitez d’effectuer la mise à jour via l’interface d’administration Web et faites la mise à jour en ligne de commandes en utilisant la
commande se3_update_system.sh. En effet, la mise à jour peut impliquer des
questions auxquelles il faut parfois répondre « non » alors que via l’interface la
réponse par défaut est toujours « oui ».
Configuration de l’expédition des messages système
Toujours dans l’interface d’administration Web du Se3, allez dans Configuration générale →
Paramètres serveur et placez-vous au niveau de la partie Configuration de l’expédition des messages
système du tableau.
• Si le réseau pédagogique est situé derrière un serveur AMON, alors laissez le champ Domaine tel
quel.
• Si en revanche, le réseau est situé derrière un serveur SLIS4, alors indiquez dans le champ
Domaine le nom du domaine public attribué à l’établissement : il s’agit du nom FQDN public du SLIS4. Il est de la forme clg-nom-ville.ac-versailles.fr si vous êtes en collège ou
de la forme lyc-nom-ville.ac-versailles.fr si vous êtes en lycée (voir la figure 3.2). Ainsi
configuré, les adresses courriel officielles des utilisateurs du domaine (élèves et professeurs)
au moment de la création des comptes dans l’annuaire du Se3 seront automatiquement du
type [email protected] ou bien [email protected] et les
adresses mail figurant dans l’annuaire du serveur Se3 correspondront aux adresses mails dont
disposent les utilisateurs sur le serveur LCS.
Cliquez ensuite sur l’icône indiqué par la flèche rouge sur la figure 3.2 en regard du champ
Une page de configuration du service SMTP s’affiche.
Expédition des messages système.
1. Si le réseau pédagogique se trouve derrière un serveur SLIS4, remplissez les trois champs ainsi :
• Domaine : indiquez à nouveau clg-nom-ville.ac-versailles.fr ou lyc-nom-ville.ac-versailles.fr
suivant votre cas.
4. En revanche, nous vous conseillons vivement d’essayer de vous procurer un onduleur au plus vite. En effet, le
serveur Se3 n’aime pas du tout les arrêts brutaux suite à des (petites) coupures de courant (mais alors pas du tout).
Ces extinctions brutales peuvent corrompre des données systèmes vitales pour le bon fonctionnement du serveur. Un
serveur Se3 sans onduleur est une source potentielle de problèmes pénibles.
5. Attention, celle-ci ne sera pas accessible immédiatement, laissez le temps au serveur de démarrer l’ensemble de
ses services.
Page 35/208
Samba Édu 3
Figure 3.2 – Réglage du domaine de messagerie.
• Serveur SMTP : indiquez l’adresse IP 192.168.78.6, qui est l’adresse IP privée du LCS qui
est aussi serveur SMTP.
• Boîte de réception : indiquez n’importe quelle adresse mail valide. Des messages automatiques provenant du serveur Se3 seront envoyés à cette adresse (quand il y aura un problème
par exemple).
2. Si le réseau pédagogique se trouve derrière un serveur AMON, remplissez les trois champs ainsi :
• Domaine : indiquez le domaine de votre FAI. Par exemple, si votre FAI est Nerim, alors
indiquez nerim.net.
• Serveur SMTP : indiquez le nom du serveur SMTP de votre FAI. Par exemple, si votre FAI
est Nerim, alors indiquez smtp.nerim.net.
• Boîte de réception : indiquez n’importe quelle adresse mail valide. Des messages automatiques provenant du serveur Se3 seront envoyés à cette adresse (quand il y aura un problème
par exemple).
Dans les deux cas, peu de temps après avoir cliqué sur Valider, vous devriez recevoir un courriel
intitulé Test de la configuration de votre serveur Se3 à destination de l’adresse mail que vous avez
spécifiée précédemment. Ce mail attestera de la bonne configuration des paramètres SMTP.
3.2
Réglages côté serveur LCS. . . si vous en avez un
Si vous avez un LCS–SLIS4, alors il est possible de faire en sorte que les utilisateurs du domaine
pédagogique (élèves et professeurs) aient les mêmes identifiants sur le LCS et sur le Se3. Pour ce
faire, il faudra indiquer au LCS de consulter, non plus son propre annuaire local, mais celui du
serveur Se3. Il n’y aura donc pas synchronisation d’annuaires, mais simplement la mise en place
d’un annuaire unique (celui du Se3), à la fois consulté par le Se3 lui-même et par le LCS.
Page 36/208

Samba Édu 3
Attention, cette manipulation n’est pas sans conséquence du côté du LCS. En
effet, si le LCS a été utilisé avant l’installation du serveur Se3, une fois la mise
en place de l’annuaire unique effectuée, il est très probable que certains comptes
ne fonctionnent plus correctement sur le LCS (après connexion sur le LCS, vous
pourrez tomber sur des messages d’erreurs assez obscurs et malheureusement
totalement bloquants). Pour éviter ce genre de soucis, il n’y aura qu’une seule
solution : demander sur le forum ac-versailles.assistance-technique.slis de
l’académie de Versailles à ce que « le répertoire /home de votre LCS soit vidé
complètement ».
De cette manière, vous ne rencontrerez pas de problème de connexion sur le
LCS mais en revanche les données des « anciens » comptes du LCS seront alors
définitivement perdues.
Pour indiquer au LCS de consulter l’annuaire du Se3, il faut vous connecter à la page d’accès en mode sans échec du LCS comme cela a été vu lors de la section 1.1.3 page 6. Dans le
tableau Paramètres LDAP, changez la valeur du champ Adresse du serveur LDAP (ldap_server) : au lieu
de localhost, indiquez l’adresse IP de votre serveur Se3 puis cliquez sur Valider.
Suite à cette manipulation, vous devriez pouvoir vous connecter au LCS avec les identifiants des
comptes de l’annuaire du Se3. Vous pouvez tester par exemple les identifiants du compte admin (le
compte admin avec lequel vous vous connectez à l’interface d’administration Web du Se3).
Si jamais il vous est impossible de vous connecter au LCS, alors vous pourrez toujours retourner
à la page d’accès en mode sans échec du LCS en utilisant toujours les mêmes identifiants que
précédemment : ces identifiants là (ceux qui permettent d’accéder à la page d’accès en mode sans
échec du LCS) sont toujours les mêmes indépendamment de l’annuaire consulté par le LCS. Vous
serez ainsi toujours en mesure de repositionner les paramètres tels qu’ils étaient avant modification.
Page 37/208
Chapitre 4
Le module DHCP
Sommaire
4.1
4.2
4.3
4.4
Introduction au DHCP, pour ceux qui le connaissent mal . . . . . . . .
Activation du module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comment choisir son plan d’adressage avec un serveur DHCP . . . . .
Configuration de votre serveur DHCP . . . . . . . . . . . . . . . . . . . .
4.4.1 Configurer le module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4.2 Comment réserver des adresses IP ? . . . . . . . . . . . . . . . . . . . . . .
4.4.3 Import - Export : comment réserver des adresses en masse ? . . . . . . . . .
4.4.4 Cas des VLANS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.5 Dépannage et FAQ pour le module DHCP . . . . . . . . . . . . . . . . .
4.5.1 Mon DHCP est en panne ! Que faire ? . . . . . . . . . . . . . . . . . . . . .
4.5.2 Démarrer le serveur à la main . . . . . . . . . . . . . . . . . . . . . . . . . .
4.5.3 Observer le service DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
40
40
41
41
42
44
44
45
45
46
46
CHAPITRE 4. LE MODULE DHCP
Samba Édu 3
Plusieurs fonctionnalités importantes de SambaÉdu3 s’appuient sur le DHCP : intégration distante des clients au domaine, clonage, déploiement des applications. . . Il est donc important de bien
savoir le paramétrer pour tirer le meilleur parti de votre serveur SambaÉdu3.
4.1
Introduction au DHCP, pour ceux qui le connaissent
mal
Le service DHCP a pour fonction, dans un réseau local, de « donner » aux ordinateurs qui le
demandent une adresse IP valable et utilisable. Imaginez un collègue qui connecte son ordinateur
personnel à une prise réseau : avec le dhcp il n’a pas besoin de configurer sa connexion ni de vous
demander quelle adresse il doit utiliser, c’est le serveur qui s’en charge de sorte qu’il n’a pas à se
préoccuper de ces réglages pour utiliser son ordinateur.
Pour cela, votre serveur a besoin que vous lui indiquiez une plage d’adresse, c’est à dire un interval
dans lequel il pourra puiser des adresses disponibles pour les ordinateurs qui en feront la demande.
Au fur et à mesure, le serveur sait quelles adresses il a attribuées et en choisit de nouvelles, ce qui
a deux conséquences importantes :
• Aucun ordinateur ne doit prendre manuellement une adresse dans la plage d’adressage dynamique, qui est réservée au serveur
• Il faut prévoir une plage d’adressage suffisante en fonction du nombre de clients qui se connectent
à votre réseau
Pour éviter de laisser une adresse “utilisée” inutilement alors que le client est éteint, un système de
bail est prévu : lorsqu’un un client obtient une adresse de la part du serveur, celle-ci lui est octroyée
durant une période précise. Lorsque cette période arrive à échéance, le client réitère sa demande
pour prolonger ce bail. S’il ne le fait pas et à l’issue du bail, l’adresse devient de nouveau disponible
pour d’autres machines.
Un serveur DHCP envoie au client plusieurs informations importantes en plus de la seule adresse
IP :
•
•
•
•
L’adresse
L’adresse
L’adresse
L’adresse
de la passerelle et le masque du réseau local
du ou des serveurs DNS
du serveur WINS
du serveur de temps (NTP)
Les avantages à utiliser un DHCP sont nombreux :
• Ne pas avoir à configurer manuellement les clients ni à maintenir une liste des adresses IP
utilisées
• Pouvoir modifier rapidement une valeur sur tout le réseau : adresse des DNS, passerelle, etc. . .
• Faciliter l’utilisation de votre réseau par des équipements nomades
• Dans le cadre du serveur SambaÉdu3, l’utilisation du DHCP est nécessaire pour exploiter au
mieux d’autres outils, comme le clonage, ou la sauvegarde des postes.
Page 39/208

4.2
Samba Édu 3
Il ne peut pas y avoir qu’un seul serveur DHCP sur un réseau. Il convient donc
avant d’activer le service DHCP du serveur SambaÉdu3 de vérifier qu’il n’y en
a pas d’autre sur le réseau (sur le SLIS4, par exemple, ou un autre serveur.
Activation du module
Figure 4.1 – Activation du module dhcp
L’activation du module DHCP se fait par l’intermédiaire du menu habituel. Il est dorénavant
automatiquement activé sur un serveur, ce qui ne veut pas dire que le service de DHCP est en route :
tant que vous ne l’avez pas configuré il reste arrêté. Rendez-vous sur le menu « configuration » pour
le mettre en service.
4.3
Comment choisir son plan d’adressage avec un serveur
DHCP
Utiliser un DHCP ne signifie pas qu’on laisse le serveur gérer seul les adresses distribuées. Si vous
le souhaitez celui-ci pourra au choix attribuer une adresse dynamique qu’il choisira dans celles dont
il dispose ou bien fonctionner par réservation d’adresse.
1. De manière dynamique : le client demande une adresse lorsqu’il en a besoin, au démarrage ou
à l’expiration de son bail, le serveur en choisit une dans la plage d’adressage dynamique. Avec
cette configuration un même client n”obtiendra pas forcément la même IP à chaque demande.
2. Par réservation d’adresse : on associe une IP à l’adresse MAC de la carte réseau. Le DHCP
attribuera donc toujours la même IP à un même client.
Un bon plan d’adressage réseau consistera à établir 3 plages d’adresses distinctes :
• Une première plage sera utilisée par des adresses IP fixes, attribuées manuellement : cela concerne principalement les serveurs, d’éventuels routeurs, ou bien encore des switchs manageables.
On peut aussi paramètrer en IP fixes des imprimantes ou des bornes wifi. Néanmoins, la réservation d’adresse via le dhcp est aussi possible pour ce type de périphériques, ce qui facilite leur
configuration.
• Une deuxième plage, la plus importante, regroupera tous les clients du réseau pour lesquels
on réservera une adresse dans le dhcp. Prévoir de la marge pour les nouveaux clients qui
Page 40/208
Samba Édu 3
seront livrés ultérieurement. La configuration des clients, dans le système d’exploitation sera
dynamique (« obtenir automatiquement une adresse IP », ou « utiliser dhcp »), mais le serveur
leur donnera toujours la même adresse IP. Ce qui combine les avantages d’un adressage fixe et
d’un adressage dynamique.
• Une troisième plage, à adressage dynamique, attribuera des IP aux ordinateurs « de passage » :
les portables personnels des professeurs, les ordiphones qui se connecteraient aux bornes wifi,
les nouvelles machines au moment de leur installation. . .
Exemple de choix possibles pour les plages d’adressage :
addresses fixes (serveurs, imprimantes...)
172.20.0.1 7→ 172.20.0.100
192.168.1.1 7→ 192.168.1.10
4.4
adresses dynamiques
172.20.1.1 7→ 172.20.1.254
192.168.1.11 7→ 192.168.1.50
adresses réservées aux clients
172.20.2.1 7→ 172.20.254.254
192.168.1.51 7→ 192.168.1.245
Configuration de votre serveur DHCP
Établissez sur le papier, comme indiqué ci-dessus, trois plages d’adressage pour votre réseau :
les adresses fixes, les adresses réservées, les adresses dynamiques. Souvenez-vous que ces plages ne
doivent en aucun cas se recouper !
Lorsque vous avez établi votre plan d’adressage vous pouvez passer à la configuration du module.

4.4.1
La configuration du module se fait de préférence clients éteints ou bien en ayant
bien en tête que si l’on permet au DHCP d’attribuer des adresses qui sont déjà
en utilisation (adresses fixes, ancien dhcp), on crééra des conflits d’adresses.
Même si votre plan d’adressage est rigoureux, les clients vont conserver pendant
un temps leurs anciennes adresses : anticipez donc au mieux cette opération.
Configurer le module
La configuration consiste généralement à indiquer le début et la fin de la plage dynamique et, en
cliquant sur « Modifier », à activer le service.
Dans l’exemple ci-dessous, les IP allant de 192.168.1.100 à 192.168.1.200 feront partie de la plage
d’adresses dynamiques, elles seront au fur et à mesure attribuées aux ordinateurs qui en feront la
demande sans réservation particulière (ordinateurs de passage ou non intégrés au domaine).
Les valeurs par défaut conviennent, voici quelques indications pour les renseigner :
• Interface d’écoute : nom de la carte réseau qui « écoute » les demandes de dhcp : généralement
eth0.
• Nom du domaine : nom du domaine, au sens IP de « nom de domaine », à adapter en fonction
de votre dns local.
• Activation du dhcp au boot : cocher oui !
• Bail : conserver les valeurs par défaut, exprimées en secondes.
Page 41/208
Samba Édu 3
Figure 4.2 – Configuration du module
• Serveur de temps : le SLIS4 ou à défaut la passerelle de votre réseau qui doit faire office de
serveur de temps, voire celui de votre FAI.
• Serveur Wins : indiquer l’IP du serveur SambaÉdu3
• DNS : indiquer le ou les adresses IP des DNS. À priori, le SLIS4, le AMON ou votre routeur.
• Passerelle, il s’agit de votre SLIS4, de votre AMON ou de votre routeur.
• Serveur TFTP et la suite : conservez les valeurs indiquées par défaut.
Après configuration du serveur, cliquez sur Modifier. Le serveur démarre et l’interface indique :
« le serveur dhcp est actif ».
À partir de ce moment, si des clients demandent une adresse IP, on peut voir leur nom dans le
menu « Gestion des baux ». Si c’est le cas, alors votre serveur dhcp fonctionne correctement !
4.4.2
Comment réserver des adresses IP ?
Une fois le serveur configuré, il attribue aux clients les adresses de sa plage dynamique, mais il est
aussi possible d’effectuer une réservation d’adresse pour chaque machine et de décider quelle adresse
sera attribuée à chaque demande à un client particulier.
On peut le faire manuellement depuis le menu « Gestion des baux » en modifiant l’adresse actuelle
du poste par une autre et en validant l’action « réservation » :
Page 42/208
Samba Édu 3
Figure 4.3 – Baux actifs
Figure 4.4 – Réservation d’adresses
puis en cliquant sur « Valider les actions » :
Figure 4.5 – Valider la réservation
Attention, cette nouvelle adresse ne sera pas immédiatement effective : votre client va conserver
son ancienne adresse, jusqu’à ce qu’il renouvelle sa demande lors de l’échéance du bail ou au prochain
re-démarrage. Cela est particulièrement important si vous tentez dans la foulée une « intégration à
distance » : le serveur ne trouvera pas le client qui aura encore une ancienne adresse.

Rappel : une IP réservée ne peut pas faire partie de la plage dynamique, au
risque de générer un conflit d’adresses IP sur votre réseau !Souvenez-vous que
vous devez réserver en dehors de la plage dynamique qui est utilisée par le serveur
pour attribuer les adresses aux clients sans réservation.
Dans l’exemple ci-dessus, la station « client1 » fait déjà partie du domaine, contrairement à la
machine « client2 » pour laquelle on vient d’effectuer une réservation. Il est possible de modifier le
nom et l’IP d’une machine (à condition de ne pas lui attribuer une IP de la plage dynamique !). Il
est aussi possible à partir de ce même menu de demander une intégration à distance de la machine,
reportez-vous au chapitre sur l’intégration des postes clients.

Rappel : l’adresse affichée dans le DHCP n’est pas immédiatement appliquée sur
la station. Il faut donc la faire redémarrer ou attendre suffisamment longtemps ou
encore lui appliquer les commandes ipconfig /release puis ipconfig /renew
pour qu’elle ait la bonne IP.
Page 43/208
Samba Édu 3
Figure 4.6 – Réservations actives
4.4.3
Import - Export : comment réserver des adresses en masse ?
Il est aussi possible de réserver en une fois de multiples adresses IP, ce qui est très pratique dans
le cadre d’une migration d’un serveur dhcp vers un autre.
La première solution consiste à utiliser un formulaire et d’y entrer pour chaque machine sur
une ligne l’adresse IP, le nom de machine et l’adresse MAC, en séparant chaque champ par un
point-virgule :
Figure 4.7 – Import d’adresses
Il est aussi possible d’importer un fichier au format csv, contenant les mêmes informations :
IP;NOM;ADRESSEMAC.
Pour modifier complètement un plan d’adressage il est possible de procéder ainsi :
1. Extraction de la liste des machines intégrées avec leur nom, leur IP et leur adresse MAC
2. Modification de ces valeurs dans un tableur
3. Importation du fichier csv dans le module DHCP
Figure 4.8 – Export d’adresses
Pour exporter les entrées existantes, allez dans DHCP / Import-Export, choisissez Générer le CSV
d’après l’annuaire LDAP. Éditez le fichier dans un tableur et exportez-le toujours au format CSV.
Importez ensuite ce fichier dans le module.
4.4.4
Cas des VLANS
Si votre réseau pédagogique comporte plusieurs VLANs, il est possible d’avoir une configuration particulière du dhcp pour chaque vlan particulier. Pour cela il faut dans un premier temps
Page 44/208
Samba Édu 3
se connecter en mode sans échec (http://<adresse du se3>:909/setup/) puis modifier l’entrée
dhcp_vlan tout en bas de page en indiquant le nombre de VLANs.
Figure 4.9 – Spécifier le nombre de VLANs
Revenir dans l’interface de configuration du DHCP et sélectionner chaque VLAN pour le configurer.
Figure 4.10 – Configurer les VLANs
4.5
Dépannage et FAQ pour le module DHCP
Si tous vos clients utilisent le dhcp, une panne de celui-ci entraînera rapidement des problèmes
de connexion.
4.5.1
Mon DHCP est en panne ! Que faire ?
Premièrement, ne paniquez pas ! ;-) Si le DHCP est en panne, les clients n’ont plus d’adresse IP
valable, ils ne peuvent donc plus joindre le serveur et il devient impossible d’ouvrir une session sur
le réseau. Il faut donc :
1. Ouvrir une session locale (administrateur ou adminse3)
2. Vérifier que le poste a une adresse non valable en 169.x.y.z : en tapant ipconfig dans un terminal
par exemple
3. Si c’est le cas, attribuer manuellement une adresse IP valable au client, par exemple 192.168.1.113
en fonction de votre réseau
4. Vous connecter au SambaÉdu3 et tenter de redémarrer le module
5. Si le module redémarre, repasser le poste en dhcp, sinon... voir ci-dessous.
Page 45/208
4.5.2
Samba Édu 3
Démarrer le serveur à la main
Si votre serveur ne démarre pas via l’interface d’administration, vous pouvez le redémarrer
manuellement, cela ne fonctionne pas nécessairement mieux, mais peut-être aurez-vous un message
d’erreur qui vous guidera.
Pour arrêter, démarrer ou rédémarrer le service lancez l’une de ces commandes en tant que root :
/etc/init.d/dhcp3-server stop
/etc/init.d/dhcp3-server start
/etc/init.d/dhcp3-server restart
4.5.3
Observer le service DHCP
Si vous souhaitez observer en temps réel les logs du service dhcp, faites :
tail -f /var/log/daemon.log
ce qui vous permet de visualiser les logs de tous services, dont le dhcp.
Pour ne voir que les logs du dhcp :
tail -f /var/log/daemon.log | grep dhcpd
Quittez avec CTRL+C
Page 46/208
Chapitre 5
L’Antivirus sur le serveur
CHAPITRE 5. L’ANTIVIRUS SUR LE SERVEUR
Samba Édu 3
Il faut d’abord installer le module.
L’antivirus Clamav est opérationnel après l’installation. Il ne s’agit pas d’une protection résidente
sur les postes de votre réseau : l’antivirus Clamav est simplement capable de scanner les fichiers
stockés sur le serveur, correspondant donc aux documents des utilisateurs et aux partages classes.
La présence d’un antivirus sur le serveur ne signifie pas que les clients doivent être exempts de
l’installation d’une solution antivirus.
Il est donc utile de programmer régulièrement un scan des fichiers qui seraient éventuellement passés
au travers du scan effectué par l’antivirus installé sur les clients. Par ailleurs, il est parfois plus facile
d’effacer des fichiers infectés sur le serveur que depuis un poste client infecté.
La mise à jour manuelle peut être lancée à partir de « Installation »
Pour mettre à jour clamav à partir du serveur au lieu de l’interface :
apt-get update puis apt-get install se3-clamav
Page 48/208
Samba Édu 3
Le scan sollicite fortement les ressources du serveur, et le ralentit donc considérablement.
Le scan pouvant durer plusieurs heures selon le nombre de fichiers présents, il est préférable de le
programmer le samedi soir.
Par défaut, les deux emplacements susceptibles de contenir des fichiers infectés sont /home et
/var/se3. Il est aussi possible d’ajouter un répertoire à scanner, en saisissant son chemin dans le
champ « ajout de répertoire ».
Il peut arriver que Clamav considère comme infectés des fichiers qui ne le sont pas. Tant que
Clamav ne possède pas de dossier de quarantaine où placer les fichiers considérés comme infectés, il
est dangereux de cocher l’option « Suppression des Virus ». Il vaut mieux prendre une décision à la
réception d’un courriel (à configurer dans « Installation ») ou à l’observation des logs en cliquant
sur Journal de Clamav.
Page 49/208
Samba Édu 3
L’option « scan de fichier » permet de vérifier un fichier accessible sur le client depuis lequel on
s’est connecté à l’interface.
Page 50/208
Chapitre 6
Création des comptes utilisateurs et des
groupes
Sommaire
6.1
Générer l’annuaire du serveur à partir de SCONET . . . . . . . . . . .
6.1.1 Comment obtenir les fichiers SCONET ? . . . . . . . . . . . . . . . . . . . .
6.2 La toute première importation sur un serveur neuf . . . . . . . . . . . .
6.2.1 Création des classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.3 L’importation de début d’année . . . . . . . . . . . . . . . . . . . . . . . .
6.3.1 L’importation du nouvel annuaire . . . . . . . . . . . . . . . . . . . . . . .
6.3.2 Le rafraîchissement des classes après la procédure d’importation annuelle .
6.4 Les autres importations réalisées en cours d’année scolaire . . . . . . .
6.4.1 Le rafraîchissement des classes . . . . . . . . . . . . . . . . . . . . . . . . .
52
52
52
55
56
56
57
58
59
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
6.1
Samba Édu 3
Générer l’annuaire du serveur à partir de SCONET
Il est possible de créer un compte à chaque utilisateur de l’établissement directement via des
fichiers extraits de SCONET, la base de données de l’établissement comprenant, entre autres, les
professeurs, les élèves et les classes. Il est aussi possible de créer un annuaire manuellement via des
fichiers textes (Cf. documentation officielle du projet SambaÉdu3.)
Il existe trois cas de figure rencontrés chronologiquement :
• la toute première importation sur un serveur SambaÉdu3 neuf,
• l’importation en début d’année scolaire,
• les autres importations en cours d’année scolaire,
6.1.1
Comment obtenir les fichiers SCONET ?
Cette opération consiste à extraire des fichiers aux formats .csv ou, de préférence, .xml à partir
de SCONET.
La procédure ci-dessous traite exclusivement d’importations de fichiers au format .xml.
Le mode d’emploi pour générer ces fichiers est en ligne à l’adresse :
http ://wwdeb.crdp.ac-caen.fr/mediase3/index.php/Gestion_des_utilisateurs

6.2
L’extraction de ces fichiers ne peut pas être réalisée à partir de n’importe quel
ordinateur du réseau administratif. Il faut la demander au chef d’établissement,
à un de ses adjoints ou à un secrétaire de direction.
La toute première importation sur un serveur neuf
Dans le cas d’un serveur SambaÉdu3 neuf dont l’annuaire est « vide », une fois les fichiers .xml
créés et enregistrés sur un support (clé USB par exemple), il faut cliquer successivement sur :
• « Annuaire »
• « Accès à l’Annuaire »
• « Importer les comptes en masse... ».
Page 52/208
Samba Édu 3
Il faut ensuite cliquer sur « directement via des fichiers CSV/XML de sconet ».
Fichier optionnel de logins : Il y a possibilité d’importer un fichier de correspondances de type
’employeeNumber ;login’ préalablement créé afin d’imposer des logins aux nouveaux utilisateurs.
Chaque ligne de ce fichier sera du type P1234;identifiant pour les professeurs et 1234;identifiant
pour les élèves.
Préfixe éventuel : Utile uniquement s’il y a dans le même établissement plusieurs structures.
Exemple : un lycée d’enseignement général et un lycée professionnel. Le préfixe permet d’ajouter
Page 53/208
Samba Édu 3
aux noms des groupes le type de structure. Par exemple, si vous indiquez LP, les noms des groupes
classes prennent la forme : Classe_LP_2-3.
Cela est d’autant plus important pour une cité scolaire (regroupant par exemple un collège et
un lycée). Dans ce cas, il est préférable d’importer d’abord la structure du collège (avec le préfixe
CLG par exemple), puis la structure du lycée (avec le préfixe LYC par exemple).
Importation de début d’année : Il n’est pas nécessaire de cocher cette option lors de la toute
première importation d’un annuaire sur un serveur SambaÉdu3.
Simulation : L’interface simule les changements sans agir sur l’annuaire, les nouveaux comptes
et les comptes retrouvés (créés auparavant à la main et pour lesquels l’employeeNumber n’était pas
renseigné) sont affichés sans être pour autant créés.
Afficher les dates et heures dans l’import : Pour estimer la durée de l’importation.
Les autres paramètres de l’écran d’importation proposés par défaut conviennent dans la
plupart des cas.
La validation débutera l’opération d’importation.
Coté serveur, un petit « top » en ligne de commande permet de suivre les services qui génèrent
le contenu de l’annuaire, à savoir slapd et php.
Pendant l’opération d’importation, une page web présentant l’avancée du processus s’affiche et
se recharge régulièrement. L’opération peut être assez longue, patience... Une fois l’importation
terminée, une recherche dans l’annuaire permet de vérifier les données.
Si la configuration de l’expédition des mails a été réalisée sur le serveur SambaÉdu3, une copie
du message final d’importation est envoyée à l’adresse électronique configurée.

Attention : ne sont créés automatiquement que les comptes des enseignants
ayant au moins une classe en responsabilité. Il peut être parfois utile de créer
manuellement certains utilisateurs (documentaliste par exemple) - Cf. chapitre
suivant
Page 54/208
6.2.1
Samba Édu 3
Création des classes
À ce stade, tous les utilisateurs sont dans l’annuaire, mais les classes (c’est-à-dire le contenu du
partage H :) ne sont pas encore créées.
À partir du menu « Gestion des partages » - « Répertoire Classes », il faut sélectionner toutes les
classes dans la liste, puis cliquer sur le bouton « Créer ».
Les dossiers des utilisateurs dans le répertoire « Classes » et toutes les ACLs (autorisations) qui
s’y rattachent sont ainsi créés automatiquement.
Page 55/208
6.3
6.3.1
Samba Édu 3
L’importation de début d’année
L’importation du nouvel annuaire
Il faut procéder à l’importation des utilisateurs comme décrit précédemment et en ayant bien pris
la précaution de COCHER le bouton « Importation de début d’année », ce qui va entraîner
les opérations suivantes sur l’annuaire LDAP seulement :
• conservation de tous les utilisateurs (élèves, professeurs, ...) et de leurs dossiers personnels
(répertoire « home »),
• suppression de tous les groupes Classes, Equipes, Cours, Matières existants, ainsi que de leurs
contenus,
• ajout des nouveaux utilisateurs,
• création de tous les groupes de la nouvelle structure,
• affectation des utilisateurs à ces groupes et déplacement des répertoires élèves de leur ancienne
vers leur nouvelle classe.
Cocher le bouton « Importation de début d’année » modifie le contenu des dossiers « Classe »,
existant dans la partition /var/se3 du serveur Se3. Les anciens travaux d’élèves figurant dans leur
ancienne classe sont alors déplacés dans un sous-répertoire « archive » dans le répertoire de leur
nouvelle classe. Ce dossier « archive » est disponible tant que l’opération de nettoyage des classes
ne sera réalisée par admin. Les autres dossiers (_travail, _devoirs...) des répertoires Classes ne sont
pas modifiés (il faut donc les nettoyer manuellement).
Page 56/208
Samba Édu 3
À l’issue de cette importation de début d’année, les « home » des utilisateurs (professeurs, élèves...)
qui ont quitté l’établissement sont encore présents sur le disque dur du serveur SambaÉdu3. Il faudra penser à procéder à leur nettoyage au bout de quelques semaines, une fois la liste des utilisateurs
stabilisée (Cf. chapitre suivant).
Pour certains utilisateurs (cas des documentalistes, des CPE... non rattachés à une classe), il
est parfois utile que leur compte ne soit pas mis à la corbeille après chaque importation de début
d’année (ces utilisateurs ne pouvant plus ouvrir de session sur le domaine). Pour éviter cela, il est
nécessaire de leur accorder le droit « no_Trash_user » (Cf. chapitre suivant).

6.3.2
La procédure d’« Importation de début d’année » se fait une seule fois, uniquement en début d’année au moment de la création de la nouvelle structure
pédagogique de l’établissement.
Dans le cadre d’une cité scolaire (regroupant un collège et un lycée par exemple), il ne faut cocher qu’une seule fois « Importation de début d’année » au
moment de l’importation de la première structure.
Le rafraîchissement des classes après la procédure d’importation
annuelle
À partir du menu « Gestion des partages » - « Répertoire Classes », il faut cliquer sur le bouton « Rafraichir toutes les classes » afin que le dossier « Classes » reflète la nouvelle structure
pédagogique de l’établissement.
Les nouvelles classes sont automatiquement créées, les dossiers des utilisateurs de ces nouvelles
classes et toutes les ACLs (autorisations) qui s’y rattachent sont également créés automatiquement.
Les travaux d’élèves sont stockés dans un sous-dossier « archive » figurant dans le dossier de leur
nouvelle classe (Cf. explications ci-dessus).
Page 57/208
Samba Édu 3
En début d’année, les informations issues des bases SCONET sont incomplètes car les professeurs
ne sont pas encore reliés à leurs classes actuelles. Pour pallier ce problème, il est possible au moment
de la création ou du rafraîchissement des classes de cocher « Droits du groupe Profs », cela
permet à tous les enseignants de voir temporairement toutes les classes et d’utiliser pleinement le
partage H :, en attendant que les bases SCONET soient à jour.
6.4
Les autres importations réalisées en cours d’année scolaire
Au début d’année, les bases SCONET sont incomplètes, voire erronées :
• tous les élèves et les enseignants ne sont pas présents, certains arrivent après le début de l’année,
• des élèves peuvent changer de classe,
• les professeurs ne sont liés à leurs classes qu’après la « remontée des services » qui a lieu après la
signature des VS, en général courant octobre (voir avec le chef d’établissement pour connaître
la date exacte de cette opération).
Il est par conséquent utile de procéder à des importations en cours d’année pour corriger ces
imperfections. Pour cela, il faut :
Page 58/208
Samba Édu 3
• générer de nouveau les fichiers SCONET,
• cliquer successivement sur « Annuaire » - « Accès à l’Annuaire » - « Importer les comptes en
masse... »,
• cliquer ensuite sur « directement via des fichiers CSV/XML de sconet ».
• Ne PAS cocher « Importation de début d’année » et ne pas supprimer les partages sur le
serveur.

6.4.1
En cours d’année scolaire, on importe simplement les nouveaux utilisateurs sans
cocher « Importation de début d’année ».
Le rafraîchissement des classes
À partir du menu « Gestion des partages », « Répertoire Classes », il faut soit :
• sélectionner une ou plusieurs classes et cliquer sur le bouton « Rafraichir »,
• cliquer sur le bouton « Rafraichir toutes les classes ».
Cette opération permet de mettre à jour les ACLs (autorisations) sur les fichiers du répertoire
« Classes ».

Le rafraîchissement des classes est nécessaire après chaque ajout d’utilisateur ou de groupe. Si les bases SCONET sont à jour, il ne faut pas oublier
de décocher la case « Droits du groupe Profs » pour que la structure de
l’annuaire du serveur SambaÉdu3 soit conforme à celle de l’établissement
Conclusion
La première importation sur une serveur SambaÉdu3 neuf peut se faire sans cocher l’option
« Importation de début d’année ». Le fait de cocher cette option lors de la toute première imporTICE académie de Versailles
Page 59/208
Samba Édu 3
tation, n’a aucune conséquence néfaste sur le fonctionnement du serveur SambaÉdu3.
Par contre, procéder au basculement d’une année scolaire sur l’autre nécessite non seulement de
cocher cette case, mais également de suivre une méthode précise pour obtenir le but recherché.
En cas d’erreur :
Sur le serveur SambaÉdu3, il faut lancer le script peopleClean.pl qui effacera de l’annuaire
tous les comptes des utilisateurs (mais pas les répertoires Classes).
Ensuite, en admin sur l’interface du serveur SambaÉdu3, il faut supprimer tous les répertoires
des classes puis importer les bases SCONET en cochant la case « Importation de début d’année ».
Page 60/208
Chapitre 7
Gestion des utilisateurs dans l’annuaire
Sommaire
7.1
7.2
7.3
L’annuaire du serveur SE3 . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
L’ajout manuel d’un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . 62
Les actions sur les utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . 64
CHAPITRE 7. GESTION DES UTILISATEURS DANS L’ANNUAIRE
7.1
Samba Édu 3
L’annuaire du serveur SE3
Le serveur SambaÉdu3 propose un annuaire dont la structure est adaptée à une institution
scolaire. Chaque utilisateur appartient à une des trois catégories suivantes : professeurs, élèves ou
administratifs. Il appartient ensuite à des groupes secondaires : classes, matières ou groupes créés
localement (ciné-club, club théâtre, etc.).
Techniquement, l’annuaire du serveur SambaÉdu3 repose sur un programme nommé OpenLdap.
LDAP est un protocole ouvert et standardisé permettant d’associer un mot de passe à chaque utilisateur, ainsi que la gestion de l’authentification. D’autres programmes et d’autres machines peuvent
utiliser l’annuaire LDAP du serveur SambaÉdu3. Il est ainsi possible de configurer un serveur LCS
pour qu’il interroge l’annuaire du serveur SambaÉdu3, cela permet aux utilisateurs de s’authentifier avec les mêmes informations sur plusieurs outils du réseau (Cf. chapitre 3). Il est également
possible d’utiliser l’annuaire LDAP du serveur SambaÉdu3 avec des applications web hébergées
dans l’établissement : Claroline, Spip, etc.
L’annuaire du serveur SambaÉdu3 est très important, il faut donc veiller à le sauvegarder régulièrement, en plus des sauvegardes habituelles réalisées automatiquement sur le serveur SambaÉdu3.
Pour exporter cet annuaire sur une clé USB, il faut cliquer successivement sur :
•
•
•
•
«
«
«
«
.
7.2
Annuaire »
Administration LDAP »
Export LDAP » et ne pas mettre de filtre
Valider »
L’ajout manuel d’un utilisateur
Dans l’interface de gestion, il faut cliquer successivement sur « Annuaire » - « Accès à l’annuaire »
puis « Ajouter un utilisateur » et saisir les paramètres de l’utilisateur à créer.
Attention, il est très difficile de changer le sexe d’un utilisateur ultérieurement.
Le mot de passe à créer doit comporter entre 4 et 8 caractères et être composé d’au moins une lettre
et/ou chiffre et/ou un caractère diacritique.
Une fois l’utilisateur créé, il faut l’intégrer à des groupes secondaires. Sur un serveur SambaÉdu3,
les principaux groupes secondaires sont :
Page 62/208
Samba Édu 3
• classes (les élèves d’une classe),
• matières (les enseignants d’une même discipline),
• équipes (les professeurs d’une même classe).
Il est parfois utile d’activer le filtre des groupes secondaires.
Exemple : intégration d’une élève à la classe de 3ème2 (302).

Ne pas oublier de « rafraîchir » les classes afin de créer le répertoire de chaque
nouvel utilisateur.
Page 63/208
7.3
Samba Édu 3
Les actions sur les utilisateurs
L’administrateur peut modifier bon nombre de paramètres concernant un utilisateur sélectionné :
• ajouter à des groupes (Cf. ci-dessus) ou enlever l’utilisateur de certains groupes,
• modifier le compte pour changer le nom, le prénom ou le mot de passe d’un utilisateur.
Attention : L’identifiant ne peut pas être modifié après création d’un utilisateur,
• réinitialiser le mot de passe si un utilisateur a modifié son mot de passe et qu’il l’a ensuite
oublié, cette action permet de remettre le mot de passe par défaut, c’est-à-dire la date de
naissance au format ANNEEMOISJOUR, sans séparateur : 19920518,
• désactiver ce compte : le compte existe toujours, mais l’utilisateur ne peut plus ouvrir de
session,
• activer ce compte pour réactiver un compte désactivé,
• supprimer le compte : le compte est détruit dans l’annuaire LDAP, il restera éventuellement
à effacer le répertoire personnel de l’utilisateur dans la partition /home/login et son profil
dans /home/profiles/login ,
• régénérer le profil Windows : le profil actuel de l’utilisateur est supprimé, il sera régénéré
à la prochaine ouverture de session comme si l’utilisateur venait d’être ajouté à l’annuaire (l’utilisateur peut le faire lui-même avec le raccourci : Réparer mon compte sur son bureau),
• verrouiller le profil Windows : le profil ne peut plus être modifié,
• envoyer un Pop Up : un popup apparaît sur le poste de l’utilisateur connecté,
• voir les connexions : permet d’afficher l’historique des connexions de l’utilisateur,
• gérer les droits : l’administrateur peut déléguer un certain nombre de droits à un utilisateur.
– se3_is_admin : administrateur du serveur SambaÉdu3 (tous les droits),
– Annu_is_admin : gestion de l’annuaire des utilisateurs (ajout ou suppression d’élèves,
de groupes...)
– sovajon_is_admin : donne le droit à un professeur de réinitialiser le mot de passe d’un
de ses élèves, donc le remettre au format ANNEEMOISJOUR de naissance,
– system_is_admin : visualisation des informations système du serveur SambaÉdu3,
– computers_is_admin : gestion des clients (ajout ou suppression de machines à des
parcs, état des machines...),
– printers_is_admin : gestion des files d’impression des imprimantes d’un parc,
– echange_can_administrate : gestion des répertoires « _echanges » dans les répertoires
classes,
– inventaire_can_read : accès à l’interface d’inventaire pour consultation,
– annu_can_read : permet de faire des recherches dans l’annuaire,
– maintenance_can_write : accéder à l’interface de maintenance pour déclarer une panne,
– parc_van_view : pour visualiser la liste des parcs,
– parc_can_manage : pour pouvoir gérer un parc,
– firefox_is_admin : pour administrer les profils Firefox,
– no_Trash_users : pour qu’un compte (cas du documentaliste par exemple) ne soit pas
mis à la poubelle suite à une importation de début d’année (Cf. chapitre précédent),
– fond_can_change : pour gérer le module fond d’écran,
Page 64/208
Samba Édu 3
– parc_can_clone : pour donner le droit à un utilisateur d’utiliser le module de clonage,
– unison_users : pour permettre à un utilisateur de synchroniser ses données stockées sur
le serveur SambaÉdu3 et un disque externe.
Tout nouveau droit accordé à un utilisateur va entraîner une modification de son interface au
niveau du serveur SambaÉdu3.
Par défaut, un élève n’a aucun droit, un professeur a le
droit de lire l’annuaire (droit
annu_can_read). Cependant,
pour une meilleure utilisation du
réseau, l’administrateur peut accorder certains droits aux enseignants, notamment :
• sovajon_is_admin pour permettre aux enseignants d’administrer les comptes utilisateurs
de leurs élèves (réactivation du mot de passe par défaut, modification de certaines données,
activation ou désactivation du compte...),
• printers_is_admin pour permettre aux enseignants de vider les files d’impression des imprimantes situées dans les parcs qu’ils utilisent avec leurs élèves,
• maintenance_can_write pour mettre en place un suivi automatisé des pannes du parc
informatique,
• echange_can_administrate pour permettre aux enseignants d’activer ou de désactiver le
répertoire « _echanges » de leurs classes en fonction de leurs besoins,
• parc_van_view pour permettre aux enseignants d’avoir une vue d’ensemble sur les machines
d’un parc.
Si vous souhaitez mettre en place la délégation forte de parcs auprès de certains utilisateurs, ces
derniers doivent bénéficier du droit parc_can_manage.
Page 65/208
Chapitre 8
Intégrer une machine dans le domaine
Se3
Sommaire
8.1
8.2
8.3
Mise à jour des machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Mise au domaine à distance . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Mise au domaine manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
CHAPITRE 8. INTÉGRER UNE MACHINE DANS LE DOMAINE SE3
Samba Édu 3
La mise au domaine peut se faire soit à distance en utilisant l’interface web, soit en intervenant
directement sur la machine cliente. Dans les deux cas, un certain nombre de préalables doivent être
levés sur la station.
8.1
Mise à jour des machines
La gestion correcte des profils distants, et le nettoyage du dossier « C :\Documents and Settings »
est optimisée pour fonctionner avec des clients sous Windows XP SP3.
Des problèmes de connexion (profil distant non trouvé) peuvent se produire avec un poste non mis
à jour ou d’autres dysfonctionnements qui pourraient encombrer le réseau local.
Il est nécessaire d’avoir des clients à jour et si possible d’utiliser le correctif UPHClean fourni par
Microsoft pour optimiser le réseau sambaedu.
La meilleure façon de mettre en oeuvre UPHClean est d’utiliser les outils du serveur, en particulier
Wpkg qui est décrit plus loin dans ce manuel. Si vous êtes obligés d’installer UPHClean manuellement, il est disponible à cette adresse : http ://www.microsoft.com/downloads/details.aspx ?FamilyID=1B286E6D8912-4E18-B570-42470E2F3582&displaylang=fr
Dans tous les cas :
- Désactiver le pare-feu de windows ainsi que ceux éventuellement installés par les logiciels antivirus
(le parefeu de symantec est particulièrement « agressif » et bloque le fonctionnement normal d’une
station Windows dans un domaine SambaÉdu3).
- Désactiver, dans le menu « Outils » -> « Options des dossiers » du poste de travail, le partage de
fichier simple.
- S’assurer - particulièrement dans le cas d’une intégration à distance - que le compte local « administrateur » est bien protégé par un mot de passe, ce qui n’est pratiquement jamais le cas pour
les machines fournies en dotation par les collectivités territoriales.
- Enfin, il est fortement conseillé d’avoir des stations en IP fixes :
• soit par la mise en place de réservations d’adresse au niveau du serveur DHCP de SambaÉdu3
(c’est la configuration préconisée)
Page 67/208
Samba Édu 3
• soit de mettre des adresses « en dur » dans la configuration réseau de la station. Dans ce dernier
cas, il faut impérativement - outre l’adresse, le masque, la passerelle (en général le slis) et le
serveur DNS (le slis également), configurer le serveur SambaÉdu3 comme serveur WINS.
- Pour finir, et s’il y a lieu d’utiliser par la suite certaines fonctionalités particulières (clonage des
stations, réinstallation unattended, etc ...), il faut activer dans le BIOS de la machine l’otion « boot
PXE » c’est à dire donner la possibilité à la station au démarrage d’aller chercher un système d’exploitation sur le réseau plutôt que sur un disque dur local. Ce boot « sur la carte réseau », doit être
placé en tête des priorités. Toujours dans le BIOS, l’option « Wake-On-Lan » (la possibilité d’allumer la machine à distance) peut également être activé, ce qui permettra de programmer des actions
de clonage, de restauration ou d’installation d’OS à distance, y compris si les machines sont éteintes.
8.2
Mise au domaine à distance
Dans ce cas, le serveur DHCP doit être configuré et actif sur le SambaÉdu3.
Au démarrage, la machine obtient une adresse dans la plage dynamique du DHCP. Elle apparaît
dans l’interface web, dans le menu « Serveur dhcp » -> « Gestion des baux ».
Dans un premier temps, on modifie l’adresse IP de la machine pour lui en donner une EN DEHORS
DE LA PLAGE DYNAMIQUE, et dans le champs déroulant « action », on sélectionne « Réserver »
puis on clique sur le bouton « Valider les réservations ». La machine disparait alors de la liste des
baux en cours, pour apparaître dans celle des « réservations actives ».
Page 68/208
Samba Édu 3
Assurez vous par un « ipconfig /renew » dans une fenêtre cmd que la machine dispose bien de sa
nouvelle IP.
Il est possible d’ors et déja de lui faire rejoindre un parc, si au moins un parc existe, en le selectionnant
dans la liste déroulante.
La machine à la fin du processus d’intégration démarrera alors l’installation des logiciels programmés
pour être déployé sur le parc en question. Cette opération est optionnelle.
Dans le menu « action », choisir « Intégrer », donner le mot de passe de l’administrateur local de la
machine dans le champ adéquat et cliquer sur le bouton « Valider les actions ».
La machine va s’éteindre et redémarrer plusieurs fois. Laisser le processus suivre son cours jusqu’à
obtention d’une boîte de dialogue d’ouverture de session.
A la première ouverture de session, la machine va terminer son installation (vous verrez des fenêtres
de scripts s’ouvrir et se fermer rapidement).
Il est conseillé de rebooter une dernière fois la machine pour terminer son intégration.
8.3
Mise au domaine manuelle
Cette mise au domaine peut se faire si l’adressage IP des sations est configuré « en dur », ou si la
mise au domaine à distance échoue.
Sur la station, après avoir ouvert une session avec le compte « administrateur » local, choisir dans
le menu « démarrer » la fonction « Exécuter », et dans la boite de dialogue, entrer la commande
suivante :
\\se3\netlogon (ou se3 est le nom netbios du serveur sambaedu)
Dans la boite de dialogue suivante, entrer l’identifiant « adminse3 » et le mot de passe affecté à ce
compte lors de la mise en place du serveur.
Ouvrir le dossier « Domscripts » et lancer le script « RejointSE3.cmd ». Le processus d’intégration
commence alors et provoque plusieurs arrêts et redémarrages successifs de la machine, jusqu’à obtention d’une boîte de dialogue d’ouverture de session.
A la première ouverture de session, la machine va terminer son installation (vous verrez des fenêtres
de scripts s’ouvrir et se fermer rapidement).
Il est conseillé de rebooter une dernière fois la machine pour terminer son intégration.
Page 69/208
Chapitre 9
Intégrer une machine GNU/Linux dans
le domaine Se3
Sommaire
9.1
Pour les impatients qui veulent tester rapidement . . . . . . . . . . . . . 72
9.1.1 Installation du paquet se3-clients-linux sur le serveur . . . . . . . . . . . . . 72
9.1.2 Intégration d’un client GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . 73
9.2 Visite rapide du répertoire clients-linux/ du serveur . . . . . . . . . . . 75
9.3 Les options des scripts d’intégration . . . . . . . . . . . . . . . . . . . . . 77
9.4 La « désintégration » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
9.5 Les partages des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . 79
9.5.1 Liste par défaut des partages accessibles suivant le type de compte . . . . . 79
9.5.2 Le lien symbolique clients-linux . . . . . . . . . . . . . . . . . . . . . . . . . 81
9.6 La gestion des profils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
9.6.1 Une précision à avoir en tête . . . . . . . . . . . . . . . . . . . . . . . . . . 82
9.6.2 Les différentes copies du profil par défaut . . . . . . . . . . . . . . . . . . . 83
9.6.3 Le mécanisme des profils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
9.6.4 Exemple de modification du profil par défaut avec Firefox . . . . . . . . . . 84
9.7 Le répertoire unefois/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
9.7.1 Principe de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
9.7.2 Le mécanisme en détail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
9.7.3 Réglage de la locale durant l’exécution des scripts « unefois » . . . . . . . . 89
9.7.4 Des variables et des fonctions prêtes à l’emploi . . . . . . . . . . . . . . . . 90
9.8 Le script de logon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
9.8.1 Phases d’exécution du script de logon . . . . . . . . . . . . . . . . . . . . . 93
9.8.2 Emplacement du script de logon . . . . . . . . . . . . . . . . . . . . . . . . 94
9.8.3 Personnaliser le script de logon . . . . . . . . . . . . . . . . . . . . . . . . . 95
9.8.4 Quelques variables et fonctions prêtes à l’emploi . . . . . . . . . . . . . . . 96
9.8.5 Gestion du montage des partages réseau . . . . . . . . . . . . . . . . . . . . 99
9.8.6 Quelques bricoles pour les perfectionnistes . . . . . . . . . . . . . . . . . . . 103
9.9 Les logs pour détecter un problème . . . . . . . . . . . . . . . . . . . . . 108
9.10 Un mot sur les imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . 109
CHAPITRE 9. INTÉGRER UNE MACHINE GNU/LINUX DANS LE DOMAINE SE3
9.11 Désinstallation/réinstallation du paquet se3-clients-linux
9.11.1 Désinstallation complète . . . . . . . . . . . . . . . . . . . .
9.11.2 Désinstallation partielle en vue d’une réinstallation . . . . .
9.12 Signaler un problème, faire une remarque etc. . . . . . . .
9.13 Les évolutions du paquet . . . . . . . . . . . . . . . . . . . .
Samba Édu 3
.
.
.
.
.
. . . . . . . 109
. . . . . . . . 109
. . . . . . . . 110
. . . . . . . 111
. . . . . . . 111
Page 71/208
9.1
9.1.1
Samba Édu 3
Pour les impatients qui veulent tester rapidement
Installation du paquet se3-clients-linux sur le serveur
Il faut que votre réseau local dispose d’une connexion Internet. Pour commencer, il faut préparer
votre serveur Samba en y installant le paquet se3-clients-linux. Pour ce faire :
• Si votre serveur est sous Lenny, il faut ouvrir une console en tant que root et lancer :
apt-get update
apt-get install se3-clients-linux
• Si votre serveur est sous Squeeze, vous pouvez :
– ou bien faire l’installation comme sur un serveur Lenny (en mode console donc) ;
– ou bien faire l’installation en passant par l’interface d’administration Web du serveur
via les menus Configuration générale → Modules. Dans le tableau des modules, le paquet
se3-clients-linux correspond à la ligne avec l’intitulé Support des clients linux.
Attention, dans les versions précédentes du paquet, il fallait éditer le fichier
/etc/apt/sources.list a et ajouter une des deux lignes suivantes :
# Pour un serveur en version Lenny.
deb http://francois-lafont.ac-versailles.fr/debian lenny se3
# Pour un serveur en version Squeeze.
deb http://francois-lafont.ac-versailles.fr/debian squeeze se3

Désormais ce n’est plus nécessaire. Le paquet est maintenant inclus dans le dépôt
officiel du projet SambaÉdu, il n’est donc plus indispensable d’ajouter un dépôt
supplémentaire.
Mais si vous souhaitez utiliser la toute dernière version disponible du
paquet, alors il faudra dans ce cas utiliser le dépôt http://francois-lafont.
ac-versailles.fr comme indiqué ci-dessus.
a. ou mieux, créer un fichier /etc/apt/sources.list.d/se3-clients-linux.list car le fichier
peut être réédité à votre insu lors de mises à jour du serveur.
/etc/apt/sources.list
L’installation ne fait rien de bien méchant sur votre serveur. Vous pouvez parfaitement désinstaller
le paquet du serveur afin que celui-ci retrouve très exactement le même état qu’avant l’installation
(voir la section 9.11 page 109). L’installation se borne uniquement à effectuer les tâches suivantes :
• Création d’un nouveau répertoire : le répertoire /home/netlogon/clients-linux/.
• Création d’un partage Samba supplémentaire sur le serveur à travers le fichier de configuration
/etc/samba/smb_CIFSFS.conf : il s’agit du partage CIFS nommé netlogon-linux correspondant au
répertoire /home/netlogon/clients-linux/ du serveur.
• Lecture de certains paramètres du serveur afin d’adapter certains scripts contenus dans le paquet
se3-clients-linux à l’environnement de votre domaine local. En fait, ces fameux paramètres
récupérés lors de l’installation du paquet sont au nombre de trois :
Page 72/208
Samba Édu 3
1. l’adresse IP du serveur ;
2. le suffixe de base de l’annuaire LDAP ;
3. l’adresse du serveur de temps NTP.

Lors de l’installation du paquet, si jamais vous obtenez un message vous indiquant que le serveur NTP ne semble pas fonctionner, avant de passer à la suite,
vous devez vous rendre sur la console d’administration Web de votre serveur
(dans Configuration générale → Paramètres serveur) afin de spécifier l’adresse
d’un serveur de temps qui fonctionne correctement (chose que l’on peut vérifier
ensuite dans la page de diagnostic du serveur). Une fois le paramétrage effectué il vous suffit de reconfigurer le paquet en lançant, en tant que root sur une
console du serveur, la commande suivante :
dpkg-reconfigure se3-clients-linux
Si tout se passe bien, vous ne devriez plus obtenir d’avertissement à propos du
serveur NTP.
Votre serveur Samba possède donc un nouveau partage CIFS qui, au passage, ne sera pas visible
par les machines clientes sous Windows. Attention, le nom du partage CIFS n’est pas le même que
le nom du répertoire correspondant dans l’arborescence locale du serveur :
Nom du partage
Chemin réseau
Chemin dans l’arborescence locale du serveur
netlogon-linux
//SERVEUR/netlogon-linux
/home/netlogon/clients-linux/
Au niveau de l’installation du paquet proprement dite, côté serveur, plus aucune manipulation
supplémentaire n’est nécessaire désormais.
Sachez enfin que si, pour une raison ou pour une autre, il vous est nécessaire de reconfigurer
le paquet pour restaurer des droits corrects sur les fichiers, ou bien pour réadapter les scripts à
l’environnement de votre serveur (parce que par exemple son IP a changé), il vous suffit de lancer
la commande suivante en tant que root sur une console du serveur :
9.1.2
Intégration d’un client GNU/Linux
Le répertoire /home/netlogon/clients-linux/ de votre serveur contient un script d’intégration par
type de distribution GNU/Linux. Par exemple, le script d’intégration pour des Debian Squeeze se
trouve dans le répertoire :
/home/netlogon/clients-linux/distribs/squeeze/integration/
et il s’appelle integration_squeeze.bash. Il faudra exécuter l’un de ces scripts, en tant que root, en
local sur le client GNU/Linux que vous souhaitez intégrer.
Page 73/208
Samba Édu 3
Remarque : pour copier en local sur un client GNU/Linux le script d’intégration qui se trouve
sur le serveur, on pourra utiliser la bonne vieille clé USB des familles, mais on pourra aussi user
et abuser de la commande scp (très pratique) qui permet d’effectuer très simplement des copies
entre deux machines (sous GNU/Linux) distantes. Par exemple, sur le terminal d’un client Debian
Squeeze, vous pourriez exécuter les commandes suivantes :
#
#
#
#
Chemin du fichier sur le serveur. Le joker * nous permet simplement
d’économiser la saisie de quelques touches sur le clavier (à
condition d’en saisir suffisamment pour éviter toute ambiguïté
sur le nom du fichier).
SOURCE="/home/netlogon/clients-linux/dist*/squ*/int*/int*"
# Répertoire de destination sur le client GNU/Linux en local. Par
# exemple le bureau, histoire de voir apparaître le fichier
# sous nos yeux.
DESTINATION="/home/toto/Bureau/"
# Et enfin la copie du fichier du serveur vers le client GNU/Linux en local.
# Il faudra alors saisir le mot de passe du compte root du serveur.
scp root@IP-SERVEUR:"$SOURCE" "$DESTINATION"
Remarque : si jamais vous avez un doute sur le type de distribution de votre client GNU/Linux,
vous pouvez lancer dans un terminal la commande suivante (pas forcément en tant que root) :
lsb_release --codename
Le résultat vous affichera le nom de code de la distribution (squeeze ou precise etc.) ce qui vous
indiquera le script d’intégration à utiliser.
Supposons par exemple que vous avez copié le script d’intégration integration_squeeze.bash sur
une Debian Squeeze et que celui-ci se trouve sur votre bureau. Alors, en tant que root, vous pouvez
lancer l’intégration ainsi :
# D’abord, on se place sur le bureau (ici, il s’agit du bureau de toto).
cd /home/toto/Bureau
# Ensuite, on rend le script exécutable.
chmod u+x integration_squeeze.bash
# Enfin, on lance l’intégration.
./integration_squeeze.bash --nom-client="toto-04" --is --ivl --rc
Les explications sur les options se trouvent plus loin dans le document à la section 9.3 page 77. Si
tout se passe bien, le client finira par lancer un redémarrage. Une fois celui-ci terminé, vous devriez
être en mesure d’ouvrir une session avec un compte du domaine (comme le compte admin ou un
compte de type professeur ou de type élève).
Page 74/208

9.2
Samba Édu 3
Il est préférable qu’aucun compte local du client n’ait le même login qu’un
compte du domaine. Or, lorsqu’on installe un client GNU/Linux, on est en
général amené à créer au moins un compte local (en plus du compte root). Si
cela vous arrive, arrangez-vous pour que le login de ce compte ne risque pas de
rentrer en conflit avec le login d’un compte du domaine. Vous pouvez utiliser
userlocal comme login par exemple, ou autre chose. . .
Visite rapide du répertoire clients-linux/ du serveur
Afin de faire un rapide tour d’horizon du paquet se3-clients-linux, voici ci-dessous un schéma du
contenu du répertoire /home/netlogon/clients-linux/ du serveur. Les noms des répertoires possèdent
un slash à la fin, sinon il s’agit de fichiers standards. Certains fichiers ou répertoires, dont vous
n’avez pas à vous préoccuper, ont été omis afin d’alléger le schéma et les explications qui vont avec.
Les fichiers ou répertoires que vous avez le droit de modifier pour les adapter à vos besoins sont en
vert. À l’inverse, vous ne devez pas modifier tous les autres fichiers ou répertoires 1 .
-- clients-linux/
|-- bin/
|
|-- connexion_ssh_serveur.bash
|
|-- logon
|
|-- logon_perso
|
‘-- reconfigure.bash
|-- distribs/
|
|-- precise/
|
|
|-- integration/
|
|
|
|-- desintegration_precise.bash
|
|
|
‘-- integration_precise.bash
|
|
‘-- skel/
|
‘-- squeeze/
|
|-- integration/
|
|
|-- desintegration_squeeze.bash
|
|
‘-- integration_squeeze.bash
|
‘-- skel/
|-- divers/
|-- doc/
|
‘-- LISEZMOI.TXT
‘-- unefois/
Voici quelques commentaires rapides :
• Le répertoire bin/ contient en premier lieu le fichier logon qui est le script de logon. Ce script est
véritablement le chef d’orchestre de tous les clients GNU/Linux intégrés au domaine. C’est lui
1. En fait, vous pouvez le faire bien sûr car vous êtes root sur le serveur. Mais les modifications effectuées sur les
fichiers/répertoires qui ne sont pas en vert sur le schéma ne survivront pas à une réinstallation ou à une mise à jour
du paquet se3-clients-linux.
Page 75/208
•
•
•
•
Samba Édu 3
qui contient les instructions exécutées systématiquement par les clients GNU/Linux juste avant
l’affichage de la fenêtre de connexion, au moment de l’ouverture de session et au moment de la
fermeture de session. Ce script de logon sera expliqué à la section 9.8 page 93. En principe, vous
ne devez pas modifier ce fichier. En revanche, vous pourrez modifier le fichier logon_perso juste
à côté. Ce fichier vous permettra d’affiner le comportement du script logon afin de l’adapter à
vos besoins. Vous trouverez toutes les explications nécessaires dans la section 9.8.3 page 95.
Le répertoire bin/ contient également le fichier connexion_ssh_serveur.bash. Il s’agit simplement
d’un petit script exécutable qui, lorsque sous serez connecté(e) avec le compte admin sur un
client GNU/Linux et que vous double-cliquerez dessus, vous permettra d’ouvrir une connexion
SSH sur le serveur en tant que root (autrement dit une console à distance sur le serveur en tant
que root). C’est une simple commodité. Bien sûr, il vous sera demandé de fournir le mot de
passe du compte root sur le serveur. Pour fermer proprement la connexion SSH, il vous suffira
de taper sur la console la commande exit.
Enfin, le répertoire bin/ contient le fichier reconfigure.bash. Il s’agit d’un fichier exécutable
très pratique qui vous permettra de remettre les droits par défaut sur l’ensemble des fichiers du
paquet se3-clients-linux se trouvant sur le serveur et d’insérer le contenu du fichier logon_perso
(votre fichier personnel que vous pouvez modifier afin d’ajuster le comportement des clients
GNU/Linux selon vos préférences) à l’intérieur du fichier logon qui est le seul fichier lu par les
clients GNU/Linux. Vous pourrez lancer cet exécutable à partir du compte admin du domaine
sur un client GNU/Linux intégré. Cet exécutable utilise une connexion SSH en tant que root
et à chaque fois il faudra donc saisir le mot de passe root du serveur.
Le répertoire distribs/ contient un sous-répertoire par distribution GNU/Linux prise en charge
par le paquet. Par exemple, dans le sous-répertoire squeeze/, il y a les dossiers suivants :
– Un dossier integration/ qui contient notamment le script d’intégration. C’est ce script qu’il
faudra exécuter en tant que root sur chaque client Squeeze que l’on souhaite intégrer au
domaine du serveur. Les options disponibles dans ce scripts sont décrites dans la section 9.3
à la page 77. Le script de « désintégration » se trouve également dans ce dossier, mais ce
script est copié sur chaque client GNU/Linux en local au moment de l’intégration. Voir la
section 9.4 page 79 pour plus d’explications sur le script de « désintégration ».
– Un dossier skel/ qui contient le profil par défaut (c’est-à-dire le home par défaut) de tous
les utilisateurs du domaine sur la distribution concernée. Si vous voulez modifier la page
d’accueil du navigateur de tous les utilisateurs du domaine ou bien si vous voulez ajouter
des icônes sur le bureau, c’est dans ce dossier qu’il faudra faire des modifications. Vous
trouverez toutes les explications nécessaires dans la section 9.6 à la page 82.
Le répertoire divers/ ne contient pas grand chose par défaut et vous pourrez à priori y mettre
ce que vous voulez. L’intérêt de ce répertoire est que, si vous y placez des fichiers (ou des
répertoires), ceux-ci seront accessibles uniquement par le compte root local de chaque client
GNU/Linux et par le compte admin du domaine. En particulier, vous aurez accès au contenu
du répertoire divers/ à travers le script de logon et à travers les scripts « unefois » (évoqués cidessous) qui sont tous les deux exécutés par le compte root local de chaque client GNU/Linux.
Vous trouverez un exemple d’utilisation possible de ce répertoire dans la section 9.10 à la
page 109.
Le répertoire doc/ contient un fichier texte qui vous indiquera l’adresse URL de la documentation
en ligne que vous êtes en train de lire actuellement (à savoir le fichier SE3_clients_linux.pdf)
ainsi que l’adresse URL des sources au format LATEX de cette documentation.
Le répertoire unefois/ sert à exécuter des scripts une seule fois sur toute une « famille » de
Page 76/208
Samba Édu 3
clients GNU/Linux intégrés au domaine. Ce répertoire peut s’avérer utile pour effectuer des
tâches administratives sur les clients GNU/Linux. Toutes les explications nécessaires sur ce
répertoire se trouvent dans la section 9.7 page 86.
9.3
Les options des scripts d’intégration
Les deux scripts d’intégration integration_squeeze.bash et integration_precise.bash, qui doivent
être exécutés en tant que root en local sur chaque client GNU/Linux à intégrer, utilisent exactement
le même jeu d’options. En voici la liste.
• L’option --nom-client ou --nc : cette option vous permet de modifier le nom d’hôte 2 du client. Si
l’option n’est pas spécifiée, alors le client gardera le nom d’hôte qu’il possède déjà. Si l’option
est spécifiée sans paramètre, alors le script d’intégration stoppera son exécution pour vous
demander de saisir le nom de la machine. Si l’option est spécifiée avec un paramètre, comme
dans :
./integration_squeeze.bash --nom-client="toto-04"
alors le script ne stoppera pas son exécution et effectuera directement le changement de nom
en prenant comme nom le paramètre fourni (ici toto-04). Les caractères autorisés pour le choix
du nom sont :
– les 26 lettres de l’alphabet en minuscules ou en majuscules, sans accents ;
– les chiffres ;
– le « tiret du 6 » (-) ;
– et c’est tout !
De plus, le nom de la machine ne soit pas faire plus de 15 caractères.
• L’option --mdp-grub ou --mg : cette option vous permet d’ajouter un mot de passe dès qu’un
utilisateur souhaite éditer un des items du menu Grub au démarrage. En effet, en général, sur
un système GNU/Linux fraîchement installé et utilisant Grub comme chargeur de boot, il est
possible de sélectionner un des items du menu Grub et de l’éditer en appuyant sur la touche e
sans devoir saisir le moindre mot de passe. Cela constitue une faille de sécurité potentielle car,
dans ce cas, l’utilisateur peut très facilement éditer un des item du menu Grub et démarrer
ensuite via cet item modifié de manière à devenir root sur la machine sans avoir à saisir le
moindre mot de passe. Avec l’option --mg, quand l’utilisateur voudra éditer un des items du
menu Gub, il devra saisir les identifiants suivants :
– login : admin ;
– mot de passe : celui spécifié avec l’option --mg.
Si l’option --mg n’est pas spécifiée, alors la configuration de Grub est inchangée et a priori la
faille de sécurité sera toujours présente. Si l’option est spécifié sans paramètre, alors le script
d’intégration stoppera son exécution pour vous demander de saisir (deux fois) le futur mot de
passe Grub (votre saisie ne s’affichera pas à l’écran). Si l’option est spécifiée avec un paramètre
comme dans :
./integration_squeeze.bash --mdp-grub="1234"
2. Celui qui se trouve dans le fichier /etc/hostname. Ce n’est pas un nom DNS pleinement qualifié.
Page 77/208
Samba Édu 3
alors le script ne stoppera pas son exécution et effectuera directement le changement de configuration de Grub en prenant comme mot de passe le paramètre fourni (ici 1234).
• L’option --mdp-root ou --mr : cette option vous permet de modifier le mot de passe du compte
root. Si vous ne spécifiez pas cette option, le mot de passe du compte root sera inchangé. Si
vous spécifiez cette option sans paramètre, alors le script d’intégration stoppera son exécution
pour vous demander de saisir (deux fois) le futur mot de passe du compte root (votre saisie ne
s’affichera pas sur l’écran). Si l’option est spécifiée avec un paramètre comme dans :
./integration_squeeze.bash --mdp-root="abcd"
alors le script ne stoppera pas son exécution et effectuera directement le changement de mot
de passe en utilisant la valeur fournie en paramètre (ici abcd).
• L’option --ignorer-verification-ldap ou --ivl : cette option, qui ne prend aucun paramètre,
vous permet de continuer l’intégration sans faire de pause après la vérification LDAP. En effet,
lors de l’exécution du script d’intégration, quel que soit le jeu d’options choisi, une recherche
dans l’annuaire du serveur est effectuée. Le script lancera une recherche de toutes les entrées
dans l’annuaire correspondant à des machines susceptibles d’avoir un lien avec la machine qui
est en train d’exécuter le script d’intégration au domaine. Plus précisément la recherche porte
sur toutes les entrées dans l’annuaire correspondant à des machines qui ont :
– même nom que la machine exécutant le script ;
– ou même adresse IP que la carte réseau de la machine exécutant le script ;
– ou même adresse MAC que la carte réseau de la machine exécutant le script.
Dans tous les cas, le résultat de cette recherche sera affiché. Si vous n’avez pas spécifié l’option
--ivl, alors le script s’arrêtera à ce moment là et vous demandera si vous voulez continuer
l’intégration. Si par exemple vous vous apercevez que le nom d’hôte que vous avez choisi pour
votre client GNU/Linux existe déjà dans l’annuaire du serveur, il faudra peut-être arrêter
l’intégration (sauf si le système GNU/Linux est installé en dual boot avec Windows sur la
machine et que le système Windows, lui, a déjà été intégré au domaine avec ce même nom).
Mais si vous avez spécifié l’option --ivl, alors après avoir affiché le résultat de la recherche
LDAP, le script continuera automatiquement l’intégration sans vous demander de confirmation.
• L’option --installer-samba ou --is : cette option, qui ne prend aucun paramètre, provoquera
l’installation de Samba sur le client GNU/Linux. Si vous ne spécifiez pas cette option, alors
Samba ne sera pas installé sur le client GNU/Linux. Actuellement, il est conseillé de spécifier
cette option. En effet, lorsqu’un client GNU/Linux essaye de monter un partage Samba du
serveur (notamment le partage homes), des scripts sont exécutés en amont côté serveur et le
montage ne sera effectué qu’une fois ces scripts terminés. Or, l’un d’entre eux peut mettre un
certain temps (environ 4 ou 5 secondes) à se terminer si Samba n’est pas installé sur la machine
cliente. Par conséquent, si vous ne spécifiez pas l’option --is, vous risquez d’avoir des ouvertures
de sessions un peu lentes (lors du montage des partages Samba). Donc pour l’instant, utilisez
cette option lors de vos intégrations.

Pour l’instant, il faut utiliser l’option --is systématiquement.
• L’option --redemarrer-client ou --rc : cette option permet de lancer automatiquement un redémarrage du client GNU/Linux à la fin de l’exécution du script d’intégration. Si vous ne spécifiez
Page 78/208
Samba Édu 3
pas cette option, il n’y aura pas de redémarrage à la fin de l’exécution du script. Sachez que le
redémarrage après intégration est nécessaire pour avoir un système opérationnel. Si les intégrations se déroulent sans erreur sur vos machines Linux, vous aurez donc tout intérêt à spécifier
à chaque fois l’option --rc.
Précisons enfin que, quel que soit le jeu d’options que vous aurez choisi, aucun enregistrement
dans l’annuaire du serveur ne sera effectué par le script d’intégration. Par conséquent, si
vous souhaitez que votre client GNU/Linux fraîchement intégré figure dans l’annuaire du serveur,
il faudra passer par une réservation d’adresse IP de la carte réseau du client via le module DHCP
du serveur.

9.4
Une fois un client intégré au domaine, évitez de monter un disque ou un partage
dans le répertoire /mnt/. En effet, le répertoire /mnt/ est utilisé constamment
par le client GNU/Linux (une fois que celui-ci est intégré au domaine) pour
y effectuer des montages de partages, notamment au moment de l’ouverture
de session d’un utilisateur du domaine, et ce répertoire est aussi constamment
« nettoyé », notamment juste après une fermeture de session. Afin d’éviter le
« nettoyage » intempestif d’un de vos disques ou d’un partage réseau de votre
cru, utilisez un autre répertoire pour procéder au montage. Utilisez par exemple
le répertoire /media/ à la place. En fait, utilisez ce que vous voulez sauf /mnt/.
La « désintégration »
Une fois un client GNU/Linux intégré au domaine, celui-ci possédera localement un script permettant de le faire « sortir » du domaine et de lui redonner (quasiment) son état avant l’intégration.
Il s’agit du script :
/etc/se3/bin/desintegration_<nom-de-code>.bash
où vous pouvez remplacer <nom-de-code> par squeeze, par precise etc. Ce script admet une unique
option (qui ne prend pas de paramètre) : il s’agit de l’option --redemarrer-client ou --rc qui, comme
son nom l’indique, redémarre la machine à la fin du script de « désintégration ». Sans cette option,
la machine ne redémarrera pas automatiquement. Tout comme pour les scripts d’intégration, après
« désintégration », un redémarrage est nécessaire pour que le système soit opérationnel. Autre point
commun : aucune modification sur l’annuaire du serveur n’est effectuée lors de l’exécution du script
de « désintégration ». En particulier, après avoir « sorti » un client GNU/Linux du domaine, il faudra
effacer vous-même toute trace de ce client dans l’annuaire du serveur.
9.5
9.5.1
Les partages des utilisateurs
Liste par défaut des partages accessibles suivant le type de compte
Attention, cette liste (décrite ci-dessous) est une liste proposée par défaut par le paquet. Vous
verrez plus loin, à la section 9.8.5 page 99, que vous pourrez définir vous-même la liste des partages
Page 79/208
Samba Édu 3
disponibles en fonction du compte qui se connecte, en fonction de son appartenance à tel ou tel
groupe etc. Cette liste est donc tout à fait modifiable.
Avertissement valable uniquement pour ceux qui ont déjà installé
une version n du paquet avec n < 1.1
Attention, depuis la version 1.1 du paquet, la gestion des partages accessibles se
fait exclusivement dans le fichier logon_perso. Cela a une conséquence importante
si une version antérieure à la version 1.1 du paquet est déjà installée sur votre
serveur. En effet, lors de la mise à jour du paquet vers une version ≥ 1.1, plus
aucun partage réseau ne devrait être monté à l’ouverture de session sur vos
clients GNU/Linux et cela pour tout utilisateur du domaine.
C’est parfaitement normal car, lors de la mise à jour du paquet, votre fichier
logon_perso a été conservé et c’est désormais dans ce fichier que les commandes
de montage des partages sont effectuées. Or, a priori, votre fichier logon_perso
ne contient pas encore ces commandes de montage.

Il est cependant très facile de retrouver le comportement par défaut (comme
décrit ci-dessous) au niveau du montage des partages réseau à l’ouverture de
session. Sur une console du serveur, en tant que root, il vous suffit de faire :
# On se place dans le répertoire bin/.
cd /home/netlogon/clients-linux/bin/
# On met dans un coin votre fichier logon_perso en le renommant
# logon_perso.SAVE (si jamais vous n’avez jamais touché à ce fichier
# alors vous pouvez même le supprimer avec la commande rm logon_perso).
mv logon_perso logon_perso.SAVE
# On reconfigure le paquet. L’absence du fichier logon_perso sera
# détectée et vous retrouverez ainsi la version par défaut de ce
# fichier.
Vous retrouverez un comportement par défaut dès que les clients GNU/Linux
auront mis à jour leur script de logon local, c’est-à-dire au plus tard après un
redémarrage des clients (en fait, après une simple fermeture de session, la mise
à jour devrait se produire).
Voici la liste, par défaut, des partages accessibles en fonction du type de compte lors d’une session.
1. Un compte élève aura accès :
• Au partage //SERVEUR/homes/Docs/ via deux liens symboliques. Tous les deux possèdent
le même nom : « Documents de <login> sur le réseau ». L’un se trouve dans le répertoire
/home/<login>/ et l’autre dans le répertoire /home/<login>/Bureau/.
• Au partage //SERVEUR/Classes/ via deux liens symboliques. Tous les deux possèdent le même
nom : « Classes sur le réseau ». L’un se trouve dans le répertoire /home/<login>/ et l’autre
Page 80/208
Samba Édu 3
dans le répertoire /home/<login>/Bureau/.
2. Un compte professeur aura accès :
• Aux mêmes partages qu’un compte élève.
• Mais il aura accès en plus au partage //SERVEUR/Docs/ via deux liens symboliques. Tous les
deux possèdent le même nom : « Public sur le réseau ». L’un se trouve dans le répertoire
/home/<login>/ et l’autre dans le répertoire /home/<login>/Bureau/.
3. Le compte admin aura accès :
• Aux mêmes partages qu’un compte professeur.
• Mais il aura accès en plus au partage //SERVEUR/admhomes/ via deux liens symboliques.
Tous les deux possèdent le même nom : « admhomes ». L’un se trouve dans le répertoire
/home/admin/ et l’autre dans le répertoire /home/admin/Bureau/.
• Et il aura accès en plus au partage //SERVEUR/netlogon-linux/ via deux liens symboliques.
Tous les deux possèdent le même nom : « clients-linux ». L’un se trouve dans le répertoire
/home/admin/ et l’autre dans le répertoire /home/admin/Bureau/.
9.5.2
Le lien symbolique clients-linux
Rien de nouveau donc au niveau des partages disponibles, à part le partage netlogon-linux accessible via le compte admin du domaine à travers le lien symbolique clients-linux situé sur le
bureau. Ce lien symbolique vous permet d’avoir accès, en lecture et en écriture, au répertoire
/home/netlogon/clients-linux/ du serveur. Techniquement, une modification de ce répertoire est aussi
possible via le lien symbolique admhomes puisque celui-ci donne accès à tout le répertoire /home/ du
serveur.
Page 81/208
Samba Édu 3
Avertissement : toujours reconfigurer les droits après modifications du contenu du
répertoire clients-linux/
Lors de certains paramétrages du paquet se3-clients-linux, vous serez parfois
amené(e) à modifier le contenu du répertoire /home/netlogon/clients-linux/ du
serveur :
• soit via une console sur le serveur si vous êtes un(e) adepte de la ligne de
commandes ;
• soit via le lien symbolique clients-linux situé sur le bureau du compte admin
lorsque vous est connecté(e) sur un client GNU/Linux intégré au domaine.

Dans un cas comme dans l’autre, une fois vos modifications terminées, il faudra
TOUJOURS reconfigurer les droits du paquet se3-clients-linux sans quoi vous
risquez ensuite de rencontrer des erreurs incompréhensibles. Pour ce faire il
faudra :
• ou bien, si vous êtes connecté(e) en mode console sur le serveur,
exécuter en tant que root la commande :
• ou bien, si vous êtes connecté(e) en tant qu’admin sur un client
GNU/Linux, double-cliquer sur le fichier reconfigure.bash accessible en
passant par le lien symbolique clients-linux sur le bureau puis par le répertoire bin/ (le mot de passe root du serveur sera demandé).
Remarque : en réalité, ces deux procédures ne font pas que reconfigurer les
droits sur les fichiers, elles permettent aussi d’injecter le contenu du fichier
logon_perso dans le fichier logon. Ce point sera abordé dans la section 9.8.3
page 95.
9.6
9.6.1
La gestion des profils
Une précision à avoir en tête
Dans cette documentation, on appellera « profil » le contenu ou une copie du contenu du home
d’un utilisateur (par exemple le profil de toto est le contenu du répertoire /home/toto/). Pour bien
comprendre le mécanisme des profils, il faut avoir en tête ces deux éléments :
1. Le serveur Samba offre un partage CIFS dont le chemin réseau est //SERVEUR/netlogon-linux/
et qui correspond sur le serveur au répertoire /home/netlogon/clients-linux/.
2. Sur chaque client GNU/Linux intégré au domaine, le répertoire /mnt/netlogon/ est un point de
montage (en lecture seule) du partage CIFS //SERVEUR/netlogon-linux/.
Conclusion à bien avoir en tête : sur un client GNU/Linux intégré au domaine, visiter le répertoire local /mnt/netlogon/ revient en fin de compte à visiter le répertoire /home/netlogon/clients-linux/
Page 82/208
Samba Édu 3
du serveur Samba. Dans le tableau ci-dessous, les trois « adresses » suivantes désignent finalement
la même zone de stockage qui se trouve sur le serveur :
Chemin réseau
Chemin local sur le serveur
Chemin local sur un client GNU/Linux
//SE3/netlogon-linux
/home/netlogon/clients-linux/
/mnt/netlogon/
9.6.2
Les différentes copies du profil par défaut
Revenons maintenant à nos profils. En fin de compte, pour un client GNU/Linux donné qui a été
intégré au domaine, il existe plusieurs copies du profil par défaut des utilisateurs. Dans le cas des
clients sur Debian Squeeze par exemple, il y a :
1. Le profil par défaut distant qui est unique et centralisé sur le serveur. Il est accessible de
plusieurs manières. Les trois « adresses » ci-dessous accèdent toutes à ce même profil par défaut
distant :
• à travers le réseau via le partage CIFS :
//SERVEUR/netlogon-linux/distribs/squeeze/skel/
• sur le serveur directement à l’adresse :
/home/netlogon/clients-linux/distribs/squeeze/skel/
• sur chaque client Squeeze intégré au domaine via le chemin :
/mnt/netlogon/distribs/squeeze/skel/
2. Le profil par défaut local qui se trouve sur chaque client intégré au domaine dans le répertoire
local /etc/se3/skel/ (ce répertoire n’est pas un point de montage, c’est un répertoire local au
client GNU/Linux).
9.6.3
Le mécanisme des profils
Voici comment fonctionne le mécanisme des profils du point de vue d’un client GNU/Linux sous
Debian Squeeze (sous une autre distribution, c’est exactement la même chose) :
1. Au moment de l’affichage de la fenêtre de connexion du système (c’est-à-dire soit
juste après le démarrage du système ou soit juste après chaque fermeture de session), le client
GNU/Linux va comparer le contenu de deux fichiers :
a. le fichier /etc/se3/skel/.VERSION de son profil par défaut local
b. le fichier /mnt/netlogon/distribs/squeeze/skel/.VERSION du profil par défaut distant.
Si ces deux fichiers ont un contenu totalement identique, alors le client GNU/Linux ne fait rien
car il estime que son profil par défaut local et le profil par défaut distant sont identiques.
Si en revanche les deux fichiers ont un contenu différent, alors le client va modifier son profil
par défaut local afin qu’il soit identique au profil par défaut distant. Autrement dit, il va
synchroniser 3 son profil par défaut local par rapport au profil par défaut distant.
3. Le terme de synchronisation est bien adapté car c’est justement la commande rsync qui est utilisée pour effectuer
cette tâche.
Page 83/208
Samba Édu 3
2. Au moment de l’ouverture de session d’un compte du domaine, c’est-à-dire juste après
une saisie correcte du login et du mot de passe d’un compte du domaine, appelons ce compte
toto, le client GNU/Linux va créer le répertoire (local) vide /home/toto/ et le remplir en y
copiant dedans le contenu de son profil par défaut local (c’est-à-dire le contenu du répertoire
/etc/se3/skel/) afin de compléter le home de toto.
3. Au moment de la fermeture de session, tous les liens symboliques situés dans /home/toto/
qui permettent d’atteindre les différents partages auxquels toto peut prétendre sont supprimés.
4. Au moment du prochain affichage de la fenêtre de connexion, c’est-à-dire ou bien juste
après la fermeture de session de toto s’il n’a pas choisi d’éteindre le poste client ou bien au
prochain démarrage du système, le répertoire /home/toto/ est tout simplement effacé.
9.6.4
Exemple de modification du profil par défaut avec Firefox
Du point de vue de l’utilisateur, cette gestion des profils est assez contraignante : par exemple
notre cher toto aura beau modifier son profil durant sa session (changer le fond d’écran, ajouter un
lanceur sur le bureau), après une fermeture puis réouverture de session, il retrouvera inlassablement
le même profil par défaut et toutes ses modifications auront disparu. De plus, tous les comptes du
domaine (que ce soit les comptes professeur ou les comptes élève) possèdent exactement le même
profil par défaut 4 . Seule la liste des partages réseau accessibles sera différente d’un compte à l’autre.
Mais ceci étant dit, cette gestion des profils présente tout de même deux avantages importants :
1. Ouverture de session rapide : en effet, au moment de l’ouverture de session d’un compte du
domaine, la création du home ne sollicite pas le réseau puisqu’elle passe par une simple copie
locale du contenu de /etc/se3/skel/ qui est copié dans /home/toto/.
2. Modification du profil par défaut (pour tous les utilisateurs) simple et rapide : en
effet, il devient très facile de modifier le profil par défaut des utilisateurs, car, si vous avez
bien suivi, c’est le profil par défaut distant (celui sur le serveur) qui sert de modèle à tous
les profils par défaut locaux des clients GNU/Linux. Une modification du profil par défaut
distant accompagnée d’une modification du fichier .VERSION associé sera impactée sur chaque
profil par défaut local de tous les clients GNU/Linux.
Prenons un exemple avec le navigateur Firefox : vous souhaitez imposer un profil par défaut
particulier au niveau de Firefox pour tous les utilisateurs du domaine sur les clients GNU/Linux
de type Precise Pangolin. Pour commencer, vous devez ouvrir une session sur un client GNU/Linux
Precise Pangolin et lancer Firefox afin de le configurer exactement comme vous souhaitez qu’il le
soit pour tous les utilisateurs (page d’accueil, proxy, etc). Une fois le paramétrage effectué, pensez
bien sûr à fermer l’application Firefox. Ensuite, il vous suffit de suivre la procédure ci-dessous. Pour
la suite, on admettra que la session utilisée pour fabriquer le profil Firefox par défaut est celle du
compte toto.
1. Il faut copier le répertoire /home/toto/.mozilla/ 5 (et tout son contenu bien sûr) dans le profil
par défaut distant du serveur, et cela tout en veillant à ce que les droits sur la copie soient
corrects. Pour ce faire, vous avez deux méthodes possibles :
4. Cette restriction pourra, dans une certaine mesure, être levée lorsqu’on abordera la personnalisation du script
de logon à la section 9.8.3 page 95.
5. Car c’est ce répertoire qui contient tous les réglages concernant Firefox que vous avez effectués.
Page 84/208
Samba Édu 3
• Méthode graphique : vous copiez le répertoire /home/toto/.mozilla/ sous une clé USB
puis vous fermez la session de toto pour en rouvrir une avec le compte admin du domaine.
Ensuite, vous double-cliquez sur le lien symbolique clients-linux qui se trouve sur le bureau
puis vous vous rendez successivement dans distribs/ → precise/ → skel/ pour enfin, via
un glisser-déposer, copier dans skel/ le répertoire .mozilla/ qui se trouve dans la clé USB
(le dossier skel/ devra donc contenir un répertoire .mozilla/).
Attention, en général, les répertoires dont le nom commence par un point sont cachés par
défaut et pour qu’ils s’affichent dans l’explorateur de fichiers il faudra sans doute activer
une option du genre « afficher les fichiers cachés ».
Enfin, comme vous avez ajouté des fichiers dans le répertoire clients-linux/ du serveur,
il faut reconfigurer les droits des fichiers. Pour ce faire, vous double-cliquez sur le lien
symbolique clients-linux qui se trouve sur le bureau puis vous vous rendez dans bin/ et
vous double-cliquez sur le fichier reconfigure.bash (vous devrez saisir le mot de passe root
du serveur).
• Méthode via la ligne de commandes : sur la session de toto restée ouverte, vous ouvrez
un terminal et vous lancez les commandes suivantes :
# Répertoire du client GNU/Linux à copier sur le serveur.
SOURCE="/home/toto/.mozilla/"
# Destination sur le serveur.
DESTINATION="/home/netlogon/clients-linux/distribs/precise/skel/"
# Copie du répertoire local (et de tout son contenu) vers le serveur.
scp -r "$SOURCE" root@IP-SERVEUR:"$DESTINATION"
À ce stade, le répertoire .mozilla/ a bien été copié sur le serveur mais les droits Unix sur
la copie ne sont pas encore corrects. Pour les reconfigurer, il faut exécuter la commande
« dpkg-reconfigure se3-clients-linux » en tant que root sur le serveur. Là aussi, cela peut
se faire directement du client GNU/Linux, sans bouger, via ssh avec la commande :
# Avec ssh, en étant sur le client GNU/Linux, on peut exécuter notre commande
# à distance sur le serveur tant que root.
ssh -t root@IP-SERVEUR "dpkg-reconfigure se3-clients-linux"
2. Modifiez le fichier .VERSION 6 du profil par défaut distant. Ce fichier .VERSION est un simple
fichier texte, vous pouvez le modifier avec un simple éditeur. S’il contient la chaîne « 1 » par
exemple, alors éditez-le et écrivez « 2 » à la place. Si vous préférez, vous pouvez très bien
indiquer la date du moment comme dans « Le 23 avril 2013 à 15h04 ». Le but est simplement,
qu’une fois modifié, le fichier .VERSION du serveur possède un contenu différent de chacun des
fichiers .VERSION locaux aux machines clientes. Dans notre exemple, le fichier se trouve dans
le répertoire /home/netlogon/clients-linux/precise/skel/ du serveur. Là aussi, deux méthodes
s’offrent à vous pour le modifier :
• La méthode graphique : si ce n’est pas déjà fait, vous fermez la session de toto pour
vous connecter sur le client GNU/Linux avec le compte admin du domaine. Ensuite, vous
6. Ne pas oublier cette étape, sans quoi les clients GNU/Linux estimeront que le profil par défaut distant n’a pas
été modifié et la mise à jour du profil par défaut local n’aura pas lieu
Page 85/208
Samba Édu 3
double-cliquez sur le lien symbolique clients-linux qui se trouve sur le bureau puis vous
vous rendez successivement dans distribs/ → precise/ → skel/. Faites en sorte d’activer
l’option « afficher les fichiers cachés » afin de voir apparaître le fichier .VERSION qui se
trouve à l’intérieur du dossier skel/. Éditez ce fichier afin simplement de modifier son
contenu. Bien sûr, pensez à enregistrer la modification. Pas besoin ici de reconfigurer les
droits car le fait de modifier le contenu du fichier .VERSION ne change pas les droits sur ce
fichier qui, a priori, étaient déjà corrects.
• Méthode via la ligne de commandes : sur la session de toto restée ouverte, vous ouvrez
un terminal et vous lancez les commandes suivantes :
# Le fichier sur le serveur qu’il faut modifier.
CIBLE="/home/netlogon/clients-linux/distribs/precise/skel/.VERSION"
ssh root@IP-SERVEUR "echo Version du 10 janvier 2012 à 15h04 > $CIBLE"
# Maintenant le fichier contient "Version du 10 janvier 2012 à 15h04".
Dès le prochain affichage de la fenêtre de connexion, les profils par défaut locaux de tous les clients
Precise Pangolin seront modifiés afin d’être identiques au profil par défaut distant du serveur. Dès
lors, les utilisateurs bénéficieront des paramétrages de Firefox que vous avez effectués.
De la même manière que précédemment, sur le profil par défaut distant, vous pouvez parfaitement
définir le contenu du bureau des utilisateurs : au lieu de copier un répertoire .mozilla/ sur le serveur,
ce sera un répertoire Bureau/, mais le principe reste le même.
D’une distribution à une autre, les versions des logiciels n’étant pas forcément
identiques, chaque distribution prise en charge possède son propre profil par
défaut distant. Sur le serveur Samba, on a donc :

9.7
9.7.1
• le répertoire /home/netlogon/clients-linux/distribs/squeeze/skel/ pour les
Debian Squeeze.
• le répertoire /home/netlogon/clients-linux/distribs/precise/skel/ pour les
Ubuntu Precise Pangolin.
Le répertoire unefois/
Principe de base
Si vous souhaitez faire des interventions ponctuelles sur les clients GNU/Linux sans vous déplacer
devant les postes, alors le répertoire /home/netlogon/clients-linux/unefois/ du serveur Samba peut
vous intéresser. En effet, des fichiers exécutables placés dans ce répertoire seront susceptibles d’être
lancés une seule fois sur les clients GNU/Linux lors du démarrage. En pratique, vous allez créer un
sous-répertoire à la racine du répertoire unefois/ du serveur. Par exemple :
• Si le nom de ce sous-répertoire est dell740, alors les exécutables se trouvant dans ce sousrépertoire seront lancés une fois au démarrage de tous les clients GNU/Linux dont le nom de
machine contient à la casse près la chaîne de caractères dell740.
Page 86/208
Samba Édu 3
• Si le nom de ce sous-répertoire est ^S121- 7 , alors les exécutables se trouvant dans ce sousrépertoire seront lancés une fois au démarrage de tous les clients GNU/Linux dont le nom de
machine commence à la casse près par la chaîne de caractères S121-.
• Si le nom de ce sous-répertoire est prof$, alors les exécutables se trouvant dans ce sous-répertoire
seront lancés une fois au démarrage de tous les clients GNU/Linux dont le nom de machine se
termine à la casse près par la chaîne de caractères prof.
• Si le nom de ce sous-répertoire est ^S121-HP-P$, alors les exécutables se trouvant dans ce sousrépertoire seront lancés une fois au démarrage du client GNU/Linux dont le nom de machine
est identique à la casse près à la chaîne de caractères S121-HP-P.
Si jamais cela évoque quelque chose pour vous, sachez qu’en réalité le nom des sous-répertoires
est interprété par le client GNU/Linux comme une expression régulière étendue. Vous pouvez donc
choisir comme nom de sous-répertoire n’importe quelle expression régulière étendue pour filtrer les
noms de machines qui sont censées exécuter une fois vos scripts ou vos fichiers binaires.
Voici un dernier exemple de nom de sous-répertoire possible (et donc d’expression régulière possible) : ^. (le nom de ce sous-répertoire est constitué d’un accent circonflexe puis d’un point). Cette
expression régulière signifie : « n’importe quelle chaîne de caractères qui commence par un caractère quelconque ». Autrement dit, les exécutables se trouvant dans ce sous-répertoire seront lancés
une fois au démarrage de tous les clients GNU/Linux sans exception. Bien sûr, le répertoire
unefois/ du serveur peut parfaitement contenir plusieurs sous-répertoires. Dans ce cas, si le nom de
machine d’un client correspond par exemple avec trois noms de sous-répertoires regex1/, regex2/ et
regex3/, alors le client devra lancer une seule fois au démarrage tous les exécutables contenus dans
chacun des sous-répertoires regex1/, regex2/ et regex3/.

Après avoir créé vos sous-répertoires et vos fichiers exécutables dans le répertoire
unefois/ du serveur, n’oubliez pas de réajuster les droits sur les fichiers comme
expliqué à la section 9.5.2 page 82.
Attention, les fichiers exécutables d’un sous-répertoire donné doivent vérifier certains critères :
• Le nom d’un exécutable ne doit pas commencer par un point.
• Le nom d’un exécutable doit se terminer par .unefois (comme dans mon-script.unefois).
• Si le fichier exécutable est un script (autrement dit si ce n’est pas un fichier binaire), il doit
impérativement comporter un shebang 8 : cela peut-être un script Bash, Perl, Python peu
importe (du moment que l’interpréteur du langage est installé sur les clients GNU/Linux) mais
il faut que le shebang soit présent.
Le critère pour que les clients GNU/Linux se souviennent d’avoir exécuté un fichier
donné (afin de l’exécuter une seule fois) est le nom de ce fichier et rien que le nom
(pas le contenu). Par exemple, si un client GNU/Linux a exécuté le script toto.unefois, alors
ce client n’exécutera plus jamais 9 de fichier s’appellant toto.unefois. Si vous avez un script que
vous souhaitez exécuter non pas une seule fois, mais quelques fois de manière très ponctuelle (une
fois par an par exemple), pensez à insérer la date du jour dans le nom du script (comme dans
7. Oui, il s’agit bien d’un répertoire dont le nom commence par un accent circonflexe.
8. Le shebang est la première ligne d’un script qui commence par #! comme dans « #! /bin/bash » ou dans « #!
/usr/bin/python ».
9. En fait, comme vous allez le voir juste après, cette règle n’est pas complètement immuable.
Page 87/208
1sept2012-maj.unefois) et le cas échéant,
en le renommant 3sept2013-maj.unefois),
clients GNU/Linux.
9.7.2
Samba Édu 3
en modifiant la date dans le nom du fichier (par exemple
celui-ci sera à nouveau candidat à l’exécution du côté des
Le mécanisme en détail
Voici le mécanisme effectué par les clients GNU/Linux au niveau du répertoire unefois/ au moment du démarrage du système uniquement (le démarrage est le seul instant où les clients
GNU/Linux se préoccupent du répertoire unefois/) :
1. Le client regarde le contenu de tous les sous-répertoires de /mnt/netlogon/unefois/ 10 dont les
noms correspondent à son nom de machine. Par exemple, si le client s’appelle S18-DELL-03, il
va regarder le contenu du sous-répertoire ^S18- mais il va ignorer le sous-répertoire -HP-. Dans
chaque sous-répertoire qu’il n’a pas ignoré (s’il en existe), le client va y chercher tous les fichiers
de la forme *.unefois, afin d’obtenir toute une liste (éventuellement vide) de fichier *.unefois.
2. Si, dans cette liste de fichiers *.unefois, certains noms figurent déjà dans le répertoire local /etc/se3/unefois/, c’est que les fichiers en question ont déjà été exécutés par le client
GNU/Linux et ils ne le sont donc pas une deuxième fois. En revanche, les fichiers de cette
liste dont le nom 11 ne figure pas dans /etc/se3/unefois/ sont copiés dans ce répertoire local
puis les copies locales sont exécutées.
C’est donc le répertoire /etc/se3/unefois/ qui constitue la « mémoire » du client GNU/Linux : il
contient la liste des noms de fichiers déjà exécutés. Il y a toutefois deux exceptions au mécanisme
décrit ci-dessus :
1. Au moment du démarrage du système, si le client détecte la présence d’un fichier nommé PAUSE 12
à la racine du répertoire /mnt/netlogon/unefois/, alors le client ne fait strictement rien au niveau
des fichiers *.unefois et donc il n’exécute absolument rien, quoi qu’il arrive.
2. Au moment du démarrage du système, si le client ne repère pas la présence du fichier PAUSE
précédent mais qu’en revanche il détecte la présence du fichier BLACKOUT 13 , toujours à la racine du
répertoire local /mnt/netlogon/unefois/, alors le client GNU/Linux efface le contenu du répertoire
/etc/se3/unefois/. Ainsi, au prochain démarrage, si les fichiers PAUSE et BLACKOUT ne sont pas
présents, le client exécutera tous les exécutables *.unefois qui le concerne, peu importe leur
nom étant donné que la « mémoire » du client GNU/Linux concernant tout ce qui a déjà été
exécuté a été effacée.
10. Rappelons à nouveau que le répertoire /mnt/netlogon/unefois/ sur les clients GNU/Linux correspond en réalité
au répertoire /home/netlogon/clients-linux/unefois/ du serveur Samba.
11. Les clients GNU/Linux ne tiennent compte que du nom des fichiers, pas de leur contenu. La casse dans le nom
des fichiers est prise en compte.
12. Le nom du fichier doit être en majuscules uniquement et peu importe le contenu de ce fichier qui peut être
totalement vide. Attention, les droits de ce fichier doivent être corrects une fois celui-ci créé.
13. Même remarque que pour le fichier PAUSE.
Page 88/208

Samba Édu 3
Au moment du démarrage, la recherche par les clients GNU/Linux des fichiers
*.unefois à exécuter (ainsi que leur copie en local le cas échéant) entraîne(nt)
forcément du trafic réseau. Lorsque vous ne souhaitez pas faire usage de ce
mécanisme (ce qui en principe sera le cas 90% du temps), n’hésitez pas à placer
le fichier PAUSE à la racine du répertoire unefois/ du serveur afin d’éviter ce travail
de recherche aux clients GNU/Linux qui solliciteraient inutilement le réseau.
Là encore, lorsque vous créerez ce fichier PAUSE, attention de bien reconfigurer
les droits des fichiers comme expliqué à section 9.5.2 page 82.
Les scripts *.unefois sont tous exécutés, en tant que root, en arrière-plan et cela dès l’affichage
de la fenêtre de connexion lors du démarrage. Si vous souhaitez qu’un script *.unefois se lance
un peu après (parce que, par exemple, vous avez besoin d’attendre que certains services soient
lancés), vous pouvez parfaitement utiliser des instructions comme « sleep 20 » afin de forcer le
script à attendre pendant 20 secondes avant de commencer réellement son travail. Enfin sachez que
dans le répertoire local /etc/se3/unefois/, chaque exécutable truc.unefois est accompagné de son
homologue nommé truc.unefois.log qui contient simplement l’ensemble des messages (d’erreur ou
non) du fichier l’exécutable.
9.7.3
Réglage de la locale durant l’exécution des scripts « unefois »
Avant de déployer un script bash via le répertoire unefois/ du serveur, il sera sans doute nécessaire
de le tester sur un client localement. Sachez que les scripts bash, lorsqu’ils sont exécutés par le client
GNU/Linux au démarrage, ont la variable d’environnement LC_ALL définie comme étant égale à C 14
et non pas égale à fr_FR.utf8. Cela implique que tous les messages de sortie des commandes système
lancées dans le script seront en anglais avec des caractères ASCII uniquement. Pour avoir une idée
de l’influence de la locale sur les commandes système, vous pouvez ouvrir un terminal bash et tester
ceci :
# On paramètre le terminal sur une locale française qui doit être très
# probablement la locale par défaut déjà définie sur votre système.
export LC_ALL="fr_FR.utf8"
# Puis on teste une commande. En principe, l’entête du résultat de la
# commande est en français.
df -h
# Maintenant, on paramètre le terminal sur la locale C.
export LC_ALL="C"
# Et on teste à nouveau la même commande. Cette fois-ci, l’entête du
# résultat de la commande est en anglais.
df -h
14. Cette valeur règle le système, le temps de l’exécution des scripts, sur la locale standard C qui est la seule locale
parfaitement normalisée et a priori disponible sur n’importe quel système de type Unix.
Page 89/208
Samba Édu 3
Par conséquent, si jamais vous souhaitez exploiter le résultat de certaines commandes système dans
vos scripts bash *.unefois, sachez que la locale peut avoir une incidence sur le comportement du
script. Si jamais vous tenez à avoir une locale française lors de l’exécution de votre script, alors il
vous suffit de placer juste en dessous du shebang l’instruction :
export LC_ALL="fr_FR.utf8"
En revanche, si vous ne souhaitez pas forcer le réglage sur une locale particulière et préférez conserver
la valeur par défaut (avec la locale standard C), alors durant vos tests afin de valider un script bash
à déployer, il faudra le lancer de la manière suivante :
LC_ALL="C" ./monscript.bash.unefois
De cette manière, le script héritera de la locale C et il se comportera de la même manière que lors
d’une exécution via le mécanisme « unefois ». Alors que si vous lancez le script ainsi :
./monscript.bash.unefois
celui-ci hériterait de la locale du système, qui est très probablement fr_FR.utf8, et il se comporterait
légèrement différemment que lors d’une exécution via la mécanisme « unefois », si bien que vos tests
seraient légèrement biaisés.
9.7.4
Des variables et des fonctions prêtes à l’emploi
Si jamais vous utilisez le langage Bash pour écrire des script de la forme *.unefois, vous pouvez
alors utiliser certaines variables ou fonctions prédéfinies qui pourront peut-être vous faciliter le
travail d’écriture des scripts. Voici tableau listant toutes ces variables et fonctions :
Nom
Commentaire
SE3
Cette variable stocke l’adresse IP du serveur récupérée automatiquement
lors de l’installation du paquet se3-clients-linux.
NOM_DE_CODE
Cette variable stocke ce qu’on appelle le « nom de code » de la distribution
(squeeze dans le cas d’une Debian Squeeze, precise dans le cas d’une Ubuntu
Precise Pangolin etc).
ARCHITECTURE
Cette variable stocke l’architecture du système. Par exemple, si le système
repose sur une architecture 64 bits, alors la variable stockera la chaîne de
caractères x86_64.
BASE_DN
Cette variable contient le suffixe de base LDAP de l’annuaire du serveur.
Elle pourra vous être utile si vous souhaitez faire vous-même des requêtes
LDAP particulières sur les clients à l’aide de la commande ldapsearch.
Table 9.1: Variables et fonctions disponibles dans les scripts « unefois ».
Page 90/208
Nom
Samba Édu 3
Commentaire
Cette variable stocke le nom du client GNU/Linux (celui qui se trouve
dans le fichier de configuration /etc/hostname). Par exemple, si vous avez
pris l’habitude de choisir des noms de machines de la forme <salle>-xxx
(comme dans S121-PC04 ou même comme dans S18-DELL-02), alors vous pourrez récupérer le nom de la salle où se trouve le client GNU/Linux par
l’intermédiaire de la variable NOM_HOTE comme ceci :
SALLE=$(echo "$NOM_HOTE" | cut -d’-’ -f1)
NOM_HOTE
if [ "$SALLE" = "S121" ]; then
# Les trucs à faire si on est dans la salle 121.
fi
if [ "$SALLE" = "S18" ]; then
# Les trucs à faire si on est dans la salle 18.
fi
# etc.
Cette fonction permet de savoir si une machine appartient à un parc donné.
Pour ce faire, la fonction appartient_au_parc interroge l’annuaire du serveur
via une requête LDAP. Voici un exemple d’utilisation :
appartient_au_parc
if appartient_au_parc "S121" "$NOM_HOTE"; then
# La machine appartient au parc S121
else
# La machine n’appartient pas au parc S121
fi
Un exemple vaudra mieux qu’un long discours :
liste_parcs=$(afficher_liste_parcs "S121-LS-P")
afficher_liste_parcs
Dans cet exemple, la fonction effectue une requête LDAP auprès du serveur
afin de connaître le nom de tous les parcs auxquels appartient la machine
S121-LS-P. Si la machine S121-LS-P appartient aux parcs S121 et PostesProfs,
alors la variable liste_parcs contiendra deux lignes, la première contenant
S121 et la deuxième contenant PostesProfs. L’idée est de stocker tous les
parcs d’une machine dans une variable, le tout en une seule requête LDAP.
Enfin, à la place de S121-LS-P comme argument de la fonction, on aurait pu
utiliser $NOM_HOTE, comme dans l’exemple ci-dessous qui sera plus éclairant
sur la manière dont on peut exploiter de telles listes.
Page 91/208
Nom
Samba Édu 3
Commentaire
Là aussi, illustrons cette fonction par un exemple :
# On récupère la liste des parcs auxquels
# appartient la machine cliente.
liste_parcs=$(afficher_liste_parcs "$NOM_HOTE")
est_dans_liste
if est_dans_liste "$liste_parcs" "PostesProfs"; then
# Si la machine est dans le parc "PostesProfs"
# alors faire ceci...
elif est_dans_liste "$liste_parcs" "CDI"; then
# Si la machine est dans le parc "CDI"
else
# Sinon faire cela...
fi
L’idée ici est qu’une seule requête LDAP est effectuée (lors de la première
instruction). Ensuite, les tests if ne sollicitent pas le réseau puisque la liste
des parcs est déjà stockée dans la variable liste_parcs.
Les fonctions suivantes sont moins pertinentes dans les scripts *.unefois qui,
rappelons-le, sont exécutés juste après le démarrage du système. Mais elles
restent toutefois disponibles également et donc figurent quand même dans ce
tableau. En revanche, nous verrons plus loin (à la section 9.8.4 page 96) que ces
fonctions sont également disponibles à des moments beaucoup plus pertinents,
comme par exemple au moment de l’ouverture de session d’un utilisateur sur le
système.
Cette fonction permet de savoir si le login d’un utilisateur correspond à
un compte qui appartient à un groupe donné. Pour ce faire, la fonction
appartient_au_groupe interroge l’annuaire du serveur via une requête LDAP.
Voici un exemple :
appartient_au_groupe
if appartient_au_groupe "Classe_1ES2" "toto"; then
# Le compte toto appartient à la classe 1ES2.
else
# Le compte toto n’appartient pas à la classe 1ES2.
fi
Page 92/208
Nom
Samba Édu 3
Commentaire
Un exemple vaudra mieux qu’un long discours :
liste_groupes_toto=$(afficher_liste_groupes "toto")
if est_dans_liste "$liste_groupes_toto" "Eleves"; then
# toto est un élève alors faire ceci...
fi
afficher_liste_groupes
Dans cet exemple, la fonction effectue une requête LDAP auprès du serveur
afin de connaître le nom des groupes auxquels compte utilisateur toto
appartient. Si par exemple ce compte appartient aux groupes Eleves et
Classe_1ES2, alors la variable liste_groupes_toto contiendra deux lignes, la
première contenant Eleves et la deuxième contenant Classe_1ES2. L’idée est
de stocker tous les groupes d’un compte donné dans une variable, le tout
en une seule requête LDAP.
Cette fonction permet de tester si un compte est local (c’est-à-dire contenu
dans le fichier /etc/passwd du client GNU/Linux) ou non (c’est-à-dire un
compte du domaine contenu dans l’annuaire du serveur).
est_utilisateur_local
if est_utilisateur_local "toto"; then
# toto est un compte local, alors faire ceci...
fi
Cette fonction permet de tester si un compte est actuellement connecté au
système (c’est-à-dire s’il a ouvert une session).
est_connecte
activer_pave_numerique
if est_connecte "toto"; then
# toto est actuellement connecté au système,
fi
Cette fonction, qui ne prend pas d’argument, permet simplement d’activer
le pavé numérique du client GNU/Linux.
9.8
9.8.1
Le script de logon
Phases d’exécution du script de logon
Le script de logon est un script bash qui est exécuté par les clients GNU/Linux lors de trois phases
différentes. Pour plus de commodité dans les explications, nous allons donner un nom à chacune de
Page 93/208
Samba Édu 3
ces trois phases une bonne fois pour toutes :
1. L’initialisation : cette phase se produit juste avant l’affichage de la fenêtre de connexion.
Attention, cela correspond en particulier au démarrage du système, certes, mais pas seulement.
L’initialisation se produit aussi juste après la fermeture de session d’un utilisateur, avant que la
fenêtre de connexion n’apparaisse à nouveau (sauf si, bien sûr, l’utilisateur a choisi d’éteindre
ou de redémarrer la machine).
Description rapide des tâches exécutées par le script lors de cette phase : le script
efface les homes (s’il en existe) de tous utilisateurs qui ne correspondent pas à des comptes
locaux 15 , vérifie si le partage CIFS //SERVEUR/netlgon-linux du serveur est bien monté sur le
répertoire /mnt/netlogon/ du client GNU/Linux et, si ce n’est pas le cas, le script exécute ce
montage. Ensuite, le cas écheant, le script procède à la synchronisation du profil par défaut local
sur le profil par défaut distant et lance les exécutions des *.unefois si l’initialisation correspond
en fait à un redémarrage du système.
2. L’ouverture : cette phase se produit à l’ouverture de session d’un utilisateur juste après que
celui-ci ait saisi ses identifiants.
procède à la création du home de l’utilisateur qui se connecte (via une copie du profil par défaut
local), exécute le montage de certains partages du serveur auxquels l’utilisateur peut prétendre
(comme par exemple le partage correspondant aux données personnelles de l’utilisateur).
3. La fermeture : cette phase se produit à la fermeture de session d’un utilisateur.
ne fait rien qui mérite d’être signalé dans cette documentation.
Comme vous pouvez le constater, le script de logon est un peu le « chef d’orchestre » de chacun des
clients GNU/Linux.
9.8.2
Emplacement du script de logon
À la base, le script de logon se trouve localement à l’adresse /etc/se3/bin/logon de chaque client
GNU/Linux. Mais il existe une version centralisée de ce script sur le serveur à l’adresse :
1. /home/netlogon/clients-linux/bin/logon si on est sur le serveur
2. /mnt/netlogon/bin/logon si on est sur un client GNU/Linux
Nous avons donc, comme pour le profil par défaut, des versions locales du script de logon (sur
chaque client GNU/Linux) et une unique version distante (sur le serveur). Et au niveau de la
synchronisation, les choses fonctionnent de manière très similaire aux profils par défaut. Lors de
l’initialisation d’un client GNU/Linux :
• Si le contenu du script de logon local est identique au contenu du script de logon distant, alors
c’est le script de logon local qui est exécuté par le client GNU/Linux.
• Si en revanche les contenus diffèrent (ne serait-ce que d’un seul caractère), alors c’est le script
de logon distant qui est exécuté. Mais dans la foulée, le script de logon local est écrasé puis
remplacé par une copie de la version distante. Du coup, il est très probable qu’à la prochaine
initialisation du client GNU/Linux ce soit à nouveau le script de logon local qui soit exécuté
parce que identique à la version distante (on retombe dans le cas précédent).
15. Un compte local est un compte figurant dans le fichier /etc/passwd du client GNU/Linux.
Page 94/208
Samba Édu 3
A priori, cela signifie donc que, pour peu que vous sachiez parler (et écrire) le langage du script
de logon (il s’agit du Bash), vous pouvez modifier uniquement le script de logon distant (celui du
serveur donc) afin de l’adapter à vos besoins. Vos modifications seraient alors impactées sur tous les
clients GNU/Linux dès la prochaine phase d’initialisation. Seulement, il ne faudra pas procéder
ainsi et cela pour une raison simple : après la moindre mise à jour du paquet se3-clients-linux
ou éventuellement après une réinstallation, toutes vos modifications sur le script de logon seront
effacées. Pour pouvoir modifier le comportement du script de logon de manière pérenne, il faudra
utiliser le fichier logon_perso qui se trouve dans le même répertoire que le script de logon.
9.8.3
Personnaliser le script de logon
Le fichier logon_perso va vous permettre d’affiner le comportement du script de logon afin de
l’adapter à vos besoins, et cela de manière pérenne dans le temps (les modifications persisteront
notamment après une mise à jour du paquet se3-clients-linux). À la base, le fichier logon_perso est
un fichier texte encodé en UTF-8 avec des fins de ligne de type Unix 16 . Il contient du code bash et
possède, par défaut, la structure suivante :
function initialisation_perso ()
{
}
# ...
function ouverture_perso ()
{
}
# ...
function fermeture_perso ()
{
}
# ...
Ce code sera ni plus ni moins inclus, tel quel, dans le script de logon. En fait, après une modification
du fichier logon_perso, il faudra donc toujours penser à reconfigurer le paquet se3-clients-linux
comme décrit dans la section 9.5.2 page 82 ce qui aura pour effet, entre autres, d’insérer le contenu
de la nouvelle version de logon_perso dans le fichier logon. Si vous oubliez de faire cette manipulation
après modification du fichier logon_perso, le fichier logon sera inchangé et vos modifications ne seront
tout simplement pas prises en compte.
16. Attention d’utiliser un éditeur de texte respectueux de l’encodage et des fins de ligne lorsque vous modifierez
le fichier logon_perso.
Page 95/208
Samba Édu 3
Procédure à suivre quand on modifie le fichier logon_perso
Pour modifier le script de logon afin de l’adapter à vos besoins, vous devez :

1. Modifier le fichier logon_perso.
2. Puis lancer la reconfiguration du paquet se3-clients-linux en effectuant
une des deux procédures décrites dans la section 9.5.2 page 82, afin que
le contenu de la nouvelle version de logon_perso soit inséré dans le fichier
logon.
Revenons au contenu du fichier logon_perso pour comprendre de quelle manière il permet de
modifier le comportement du script logon. Dans le fichier logon_perso, on peut distinguer trois
fonctions :
1. Tout le code que vous mettrez dans la fonction initialisation_perso sera exécuté lors de la phase
d’initialisation des clients, en dernier, c’est-à-dire après que le script de logon ait effectué toutes
les tâches liées à la phase d’initialisation qui sont décrites brièvement au point 1 de la section
9.8.1.
2. Tout le code que vous mettrez dans la fonction ouverture_perso sera exécuté lors de la phase
d’ouverture des clients uniquement lorsqu’un utilisateur du domaine se connecte. Le code est
exécuté juste après la création du « home » de l’utilisateur qui se connecte. Typiquement,
c’est dans cette fonction que vous allez gérer les montages de partages réseau en fonction du
type de compte qui se connecte (son appartenance à tel ou tel groupe etc).
Pour la gestion des montages de partages réseau à l’ouverture de session, tout se trouve à la
section 9.8.5 page 99.
3. Tout le code que vous mettrez dans la fonction fermeture_perso sera exécuté lors de la phase de
fermeture des clients, en dernier, c’est-à-dire après que le script de logon ait effectué toutes
les tâches liées à la phase de fermeture qui sont décrites brièvement au point 3 de la section
9.8.1.
Vous pouvez bien sûr définir dans le fichier logon_perso des fonctions supplémentaires, mais, pour
que celles-ci soient au bout du compte exécutées par le script de logon, il faudra les appeler dans le
corps d’une des trois fonctions initialisation_perso, ouverture_perso ou fermeture_perso.
Il faut bien avoir en tête que le contenu de logon_perso est ni plus ni moins inséré dans le script
et donc, après modification de logon_perso, il faut toujours mettre à jour le fichier logon via la
commande « dpkg-reconfigure se3-clients-linux ».
logon
9.8.4
Quelques variables et fonctions prêtes à l’emploi
Voici la liste des variables et des fonctions que vous pourrez utiliser dans le fichier logon_perso et
qui seront susceptibles de vous aider à affiner le comportement du script de logon :
Page 96/208
Nom
Samba Édu 3
Commentaire
Pour commencer, toutes les variables et les fonctions présentées dans le
tableau 9.1 à la page 93 sont utilisables.
LOGIN
Cette variable stocke le login de l’utilisateur qui a ouvert une session.
Cette variable n’a de sens que lors de la phase d’ouverture et de fermeture (c’est-à-dire uniquement à l’intérieur des fonctions ouverture_perso et
fermeture_perso), pas lors de la phase d’initialisation (c’est-à-dire à l’intérieur de la fonction initialisation_perso) puisque personne n’a encore
ouvert de session à ce moment là.
NOM_COMPLET_LOGIN
Cette variable stocke le nom complet (sous la forme « prénom nom ») de
l’utilisateur qui a ouvert une session. Cette variable n’a de sens que lors de
la phase d’ouverture et de fermeture.
REP_HOME
Cette variable stocke le chemin absolu du répertoire home de l’utilisateur
qui se connecte. Par exemple, si le compte toto ouvre une session, la variable
contiendra la chaîne /home/toto. Remarquez que cette variable est un simple
raccourci pour écrire "/home/$LOGIN". Cette variable n’a de sens que lors de
la phase d’ouverture et de fermeture.
Cette variable, qui n’a de sens que lors de la phase d’ouverture, stocke
la liste des groupes auxquels appartient l’utilisateur qui a ouvert une session
(le format étant un nom de groupe par ligne). Une utilisation typique de
cette variable est :
LISTE_GROUPES_LOGIN
if est_dans_liste "$LISTE_GROUPES_LOGIN" "Profs"; then
# L’utilisateur qui se connecte appartient au
# groupe Profs, alors faire ceci...
elif est_dans_liste "$LISTE_GROUPES_LOGIN" "Eleves"; then
# L’utilisateur qui se connecte appartient au
# groupe Eleves, alors faire cela...
fi
Au passage, dans ce code, aucune requête LDAP n’est effectuée puisque
la variable LISTE_GROUPES_LOGIN contient déjà la liste des groupes auxquels
appartient l’utilisateur qui vient de se connecter (la requête LDAP permettant de définir la variable LISTE_GROUPES_LOGIN a été faite par le script de
logon en amont, une fois pour toute).
Table 9.2: Variables et fonctions disponibles dans le fichier logon_perso.
Page 97/208
Nom
Samba Édu 3
Commentaire
Cette variable stocke toujours la valeur false, sauf lorsqu’on se trouve lors
d’une phase d’initialisation qui correspond à un démarrage du système
où elle stocke alors la valeur true. Cette variable n’a donc d’intérêt que
lorsqu’elle est utilisée dans la fonction initialisation_perso. Voici un exemple :
DEMARRAGE
if "$DEMARRAGE"; then
# On est lors d’une phase de démarrage
fi
monter_partage
Si vous voulez que les utilisateurs du domaine puissent avoir accès à des
partages réseau sur le serveur, il faudra forcément faire usage de cette fonction qui est donc très importante. Toutes les explications sur cette fonction
se trouvent à la section 9.8.5 page 99. Cette fonction n’a de sens que lors
de la phase d’ouverture.
creer_lien
Cette fonction, qui va de pair avec la précédente, sera détaillée à la section 9.8.5 page 99. Cette fonction n’a de sens que lors de la phase d’ouverture.
changer_icone
Cette fonction sera détaillée à la section 9.8.6 page 103. Cette fonction n’a
de sens que lors de la phase d’ouverture.
changer_papier_peint
Cette fonction, utilisable uniquement pendant la phase d’ouverture, permet
de changer le fond d’écran de l’utilisateur qui se connecte. Elle prend un
argument qui correspond au chemin absolu (sur le client) du fichier image
à utiliser en guise de fond d’écran. Un exemple de l’utilisation de cette
fonction sera donné à la section 9.8.6 page 104.
Cette fonction, qui fait exactement ce à quoi on pense naturellement, sera
détaillée à la section 9.8.6 page 105.
Parfois certaines commandes nécessitent d’être exécutées un fois le script
de logon terminé (c’est-à-dire une fois l’initialisation, l’ouverture ou la fermeture terminée). C’est ce que permet cette fonction. Avec par exemple :
executer_a_la_fin "5" "commande" "arg1" "arg2"
executer_a_la_fin
la commande commande (avec ses arguments) sera lancée 5 secondes après
que le script de logon ait terminé son exécution. Un exemple de l’usage de
cette fonction sera donné à la section 9.8.6 page 106. Attention, l’exécution
se faisant une fois le script de logon terminé, il y aura aucune trace dans
les fichiers de log de l’exécution de la commande commande.
Table 9.2: Variables et fonctions disponibles dans le fichier logon_perso.
Page 98/208
9.8.5
Samba Édu 3
Gestion du montage des partages réseau
Comme cela a déjà été expliqué, c’est vous qui allez gérer les montages de partages réseau en
éditant le contenu de la fonction ouverture_perso qui se trouve dans le fichier logon_perso. Évidemment, si la gestion par défaut des montages vous convient telle quelle, alors vous n’avez pas besoin
de toucher à ce fichier. Commençons par un exemple simple :
{
monter_partage "//$SE3/Classes" "Classes" "$REP_HOME/Bureau/Répertoire Classes"
}
Ici la fonction monter_partage possède trois arguments qui devront être délimités par des
doubles quotes (") :
1. Le premier représente le chemin UNC du partage à monter. Vous reconnaissez sans doute la
variable SE3 qui stocke l’adresse IP du serveur. Par exemple si l’adresse IP du serveur est
172.20.0.2, alors le premier argument sera automatiquement développé en :
//172.20.0.2/Classes.
Cela signifie que c’est le partage Classes du serveur 172.20.0.2 qui va être monté sur le clients
GNU/Linux. Attention, sous GNU/Linux un chemin UNC de partage s’écrit avec des slashs (/)
et non avec des antislashs (\) comme c’est le cas sous Windows.
2. Maintenant, il faut un répertoire local pour monter un partage. C’est le rôle du deuxième
argument. Quoi qu’il arrive (vous n’avez pas le choix sur ce point), le partage sera monté dans
un sous-répertoire du répertoire /mnt/_$LOGIN/. Par exemple si c’est toto qui se connecte sur le
poste client, le montage sera fait dans un sous répertoire de /mnt/_toto/. Le deuxième argument
spécifie le nom de ce sous-répertoire. Ici nous avons décidé assez logiquement de l’appeler
Classes. Par conséquent, en visitant le répertoire /mnt/_toto/Classes/ sur le poste client, notre
cher toto aura accès au contenu du partage Classes du serveur.
Attention, dans le choix du nom de ce sous-répertoire, vous êtes limité(e) aux caractères a-z,
A-Z, 0-9, le tiret (-) et le tiret bas (_). C’est tout. En particulier pas d’espace ni accent.
Si vous ne respectez pas cette consigne le partage ne sera tout simplement pas monté et une
fenêtre d’erreur s’affichera à l’ouverture de session.
Vous serez sans doute amené(e) à monter plusieurs partages réseau pour un même utilisateur
(via plusieurs appels de la fonction monter_partage au sein de la fonction ouverture_perso). Donc
il y aura plusieurs sous-répertoires dans /mnt/_$LOGIN/. Charge à vous d’éviter les doublons dans
les noms des sous-répertoires, sans quoi certains partages ne seront pas montés.
3. À ce stade, notre cher toto pourra accéder au partage Classes du serveur en passant par
/mnt/_toto/Classes/. Mais cela n’est pas très pratique. L’idéal serait d’avoir accès à ce partage
directement via un dossier sur le bureau de toto. C’est exactement ce que fait le troisième
argument. Si toto ouvre une session, l’argument "$REP_HOME/Bureau/Répertoire Classes" va se
développer en "/home/toto/Bureau/Répertoire Classes" si bien qu’un raccourci (sous GNU/Linux
on appelle ça un lien symbolique) portant le nom Répertoire Classes sera créé sur le bureau de
toto. Donc en double-cliquant sur ce raccourci (vous pouvez voir à la page ?? via une capture
d’écran que ce genre de raccourci ressemble à un simple dossier), sans même le savoir, toto
visitera le répertoire /mnt/_toto/Classes/ qui correspondra au contenu du partage Classes du
Page 99/208
Samba Édu 3
serveur. Vous n’êtes pas limité(e) dans le choix du nom de ce raccourci. Les espaces et les
accents sont parfaitement autorisés (évitez par contre le caractère double-quote). En revanche,
ce raccourci doit forcément être créé dans le home de l’utilisateur qui se connecte. Donc ce
troisième argument devra toujours commencer par "$REP_HOME/..." sans quoi le lien ne
sera tout simplement pas créé.
Tout n’a pas encore été dévoilé concernant cette fonction monter_partage. En fait, vous pouvez
créer autant de raccourcis que vous voulez. Il suffit pour cela d’ajouter un quatrième argument, puis
un cinquième , puis un sixième etc. Voici un exemple :
{
monter_partage "//$SE3/Classes" "Classes" \<Touche ENTRÉE>
"$REP_HOME/Bureau/Lecteur réseau Classes" \<Touche ENTRÉE>
"$REP_HOME/Lecteur réseau Classes"
}
Remarque : normalement il faut mettre une fonction avec ses arguments sur une même ligne car un
saut de ligne signifie la fin d’une instruction aux yeux de l’interpréteur Bash. Mais ici la ligne serait
bien longue à écrire et dépasserait la largeur de la page de ce document. La combinaison antislash
(\) puis ENTRÉE permet simplement de passer à la ligne tout en signifiant à l’interpréteur Bash
que l’instruction entamée n’est pas terminée et qu’elle se prolonge sur la ligne suivante.
Le premier argument correspond toujours au chemin UNC du partage réseau et le deuxième argument au nom du sous-répertoire dans /mnt/_$LOGIN/ associé à ce partage. Ensuite, nous avons cette
fois-ci un troisième et un quatrième argument qui correspondent aux raccourcis pointant vers
le partage : l’un est créé sur le bureau et l’autre est créé à la racine du home de l’utilisateur qui
se connecte. Il est possible de créer autant de raccourcis que l’on souhaite, il suffit d’empiler les
arguments 3, 4, 5 etc. les uns à la suite des autres.
La syntaxe de la fonction monter_partage est donc la suivante :
monter_partage "<partage>" "<répertoire>" ["<raccourci>"]...
où seuls les deux premiers arguments sont obligatoires :
• <partage> est le chemin UNC du partage à monter. Il est possible de se limiter à un sousrépertoire du partage, par exemple comme dans //$SE3//administration/docs où l’on montera
uniquement le sous-répertoire docs/ du partage administration du serveur.
• <répertoire> est le nom du sous-répertoire de /mnt/_$LOGIN/ qui sera créé et sur lequel le partage
sera monté. Seuls les caractères -_a-zA-Z0-9 sont autorisés.
• Les arguments <raccourci> sont optionnels. Ils représentent les chemins absolus des raccourcis
qui seront créés et qui pointeront vers le partage. Ils doivent toujours se situer dans le home de
l’utilisateur qui se connecte, donc ils doivent toujours commencer par "$REP_HOME/...". Si ces
arguments ne sont pas présents, alors le partage sera monté mais aucun raccourci ne sera créé.

Attention, le montage du partage réseau se fait avec les droits de l’utilisateur
qui est en train de se connecter. Si l’utilisateur n’a pas les droits suffisants pour
accéder à ce partage, ce dernier ne sera tout simplement pas monté.
Page 100/208
Samba Édu 3
Remarque : au final, si vous placez bien vos raccourcis, l’utilisateur n’aura que faire du répertoire
"/mnt/_$LOGIN/". Il utilisera uniquement les raccourcis qui se trouvent dans son home. Peu importe
pour lui de savoir qu’ils pointent en réalité vers un sous-répertoire de "/mnt/_$LOGIN/", il n’a pas à
s’en préoccuper.
Remarque : je vous conseille de toujours créer au moins un raccourci à la racine du home de
l’utilisateur qui se connecte. En effet, lorsqu’un utilisateur souhaite enregistrer un fichier via une
application quelconque, très souvent l’explorateur de fichiers s’ouvre au départ à la racine de son
home. C’est donc un endroit privilégié pour placer les raccourcis vers les partages réseau. Il me
semble que doubler les raccourcis à la fois à la racine du home et sur le bureau de l’utilisateur est
une bonne chose. Mais bien sûr, tout cela est une question de goût...
Étant donné que le montage d’un partage se fait avec les droits de l’utilisateur qui se connecte,
certains partages devront être montés uniquement dans certains cas. Prenons l’exemple du partage
netlogon-linux du serveur. Celui-ci n’est accessible qu’au compte admin du domaine. Pour pouvoir
monter ce partage seulement quand c’est le compte admin qui se connecte, il va falloir ajouter ce
bout de code dans la fonction ouverture_perso du fichier logon_perso :
{
# Montage du partage "netlogon-linux" seulement dans le cas
# où c’est le compte "admin" qui se connecte.
if [ "$LOGIN" = "admin" ]; then
# Cette partie là ne sera exécutée qui si c’est admin qui se connecte.
monter_partage "//$SE3/netlogon-linux" "clients-linux" \<Touche ENTRÉE>
"$REP_HOME/clients-linux" \<Touche ENTRÉE>
"$REP_HOME/Bureau/clients-linux"
}
fi
Remarque : attention, en Bash, le crochet ouvrant au niveau du if doit absolument être précédé
et suivi d’un espace et le crochet fermant doit absolument être précédé d’un espace.
Autre cas très classique, celui d’un partage accessible uniquement à un groupe. Là aussi, une
structure avec un if s’impose :
{
# On décide que le montage du partage "administration" sera seulement effectué si
# c’est un compte qui appartient au groupe "Profs" qui se connecte.
}
if est_dans_liste "$LISTE_GROUPES_LOGIN" "Profs"; then
monter_partage "//$SE3/administration" "administration" \<Touche ENTRÉE>
"$REP_HOME/administration sur le réseau" \<Touche ENTRÉE>
"$REP_HOME/Bureau/administration sur le réseau"
fi
L’instruction « if est_dans_liste "$LISTE_GROUPES_LOGIN" "Profs"; then » doit s’interpréter ainsi :
« si dans la liste des groupes dont est membre le compte qui se connecte actuellement il y a le
Page 101/208
Samba Édu 3
groupe Profs, autrement dit si le compte qui se connecte actuellement appartient au groupe Profs,
alors... »

Attention, le test if ci-dessus est sensible à la casse si bien que le résultat ne sera
pas le même si vous mettez "Profs" ou "profs". Par conséquent, prenez bien la
peine de regarder le nom du groupe qui vous intéresse avant de l’insérer dans un
test if comme ci-dessus afin de bien respecter les minuscules et les majuscules.
Si vous voulez savoir le nom des partages disponibles pour un utilisateur donné, par exemple toto,
il vous suffit de lancer la commande suivante sur le serveur en tant que root :
smbclient --list localhost -U toto
# Il faudra alors saisir le mot de passe de toto.
Parmi la liste des partages, l’un d’eux est affiché sous le nom de home. Il correspond au home de
toto sur le serveur. Ce partage est un peu particulier car il pointera vers un répertoire différent en
fonction du compte qui tente d’y accéder. Par exemple, si titi veut accéder à ce partage, alors il
sera rédirigé vers le répertoire /home/titi/ du serveur. Chaque utilisateur a le droit de monter ce
partage, mais attention le chemin UNC est en fait //SERVEUR/homes (avec un « s » à la fin et d’ailleurs
dans le fichier de configuration Samba ce partage est bien défini par la section homes). A priori, on
pourra monter ce partage pour tous les comptes du domaine donc pas besoin de structure if pour
ce partage :
{
# Montage du sous-répertoire "Docs" du partage "homes" pour tout le monde.
}
monter_partage "//$SE3/homes/Docs" "Docs" \<Touche ENTRÉE>
"$REP_HOME/Documents de $LOGIN sur le réseau" \<Touche ENTRÉE>
"$REP_HOME/Bureau/Documents de $LOGIN sur le réseau"
Dans l’exemple ci-dessus, on ne monte pas le partage homes mais uniquement le sous-répertoire Docs
de ce partage. Comme d’habitude sous GNU/Linux, respectez bien la casse des noms de partages
et de répertoires.
Pour l’instant, de par la manière dont la fonction monter_partage est définie, on peut créer uniquement des liens qui pointent vers la racine du partage associé. Mais on peut vouloir par exemple
monter un partage et créer des liens uniquement vers des sous-répertoires de ce partage (et non vers
sa racine). C’est tout à fait possible avec la fonction creer_lien. Voici un exemple :
{
# Montage du partage "homes" pour tout le monde, mais ici on ne créé pas de
# lien vers la racine de ce partage (appel de la fonction avec seulement deux
# arguments).
monter_partage "//$SE3/homes" "home"
# Ensuite on crée des liens mais ceux-ci ne pointent pas à la racine du partage.
Page 102/208
}
Samba Édu 3
creer_lien "home/Docs" "$REP_HOME/Documents de $LOGIN sur le réseau"
creer_lien "home/Bureau" "$REP_HOME/Bureau de $LOGIN sous Windows"
Le premier argument de la fonction creer_lien est la cible du ou des liens à créer. Cette cible peut
s’écrire sous la forme d’un chemin absolu, c’est-a-dire un chemin qui commence par un antislash (ce
qui n’est pas le cas ci-dessus). Si le chemin ne commence pas par un antislash, alors la fonction part
du principe que c’est un chemin relatif qui part de /mnt/_$LOGIN/ 17 . Ensuite, le deuxième argument
et les suivants (autant qu’on veut) sont les chemins absolus du ou des liens qui seront créés. Ces
chemins doivent impérativement tous commencer par "$REP_HOME/...".
9.8.6
Quelques bricoles pour les perfectionnistes
Changer les icônes représentants les liens pour faire plus joli
C’est quand même plus joli quand on a des icônes évocateurs 18 comme ci-dessous pour nos liens
vers les partages, non ?
Et bien ça tombe bien car c’est facile à faire avec la fonction changer_icone. Voici un exemple :
{
# On suppose que le partage "Classe" est déjà monté et qu’un
# lien vers ce partage a déjà été créé sur le bureau...
}
changer_icone "$REP_HOME/Bureau/Classes sur le réseau" \<Touche ENTRÉE>
"$REP_HOME/.mes_icones/classe.jpg"
La fonction prend toujours deux arguments. Le premier est le chemin absolu du fichier dont on
veut changer l’icône. Cela peut être n’importe quel fichier (ce n’est pas forcément un des raccourcis
17. Du coup, mettre "home/Docs" ou mettre /mnt/_$LOGIN/home/Docs comme premier argument revient exactement au
même.
18. En informatique, le masculin est autorisé pour le mot icône.
Page 103/208
Samba Édu 3
qu’on a créé), mais par contre il doit impérativement se trouver dans le home de l’utilisateur qui se
connecte (donc il devra toujours commencer par "$REP_HOME/..."). Ensuite, le deuxième argument
est le chemin absolu de n’importe quel fichier image (du moment que le compte qui se connecte peut
y avoir accès en lecture).
Une idée possible (parmi d’autres) est de modifier le profil par défaut des d’utilisateurs et d’y
placer un répertoire .mes_icones/ dans lequel vous mettez tous les icônes dont vous avez besoin pour
habiller vos liens. Ensuite, vous pourrez aller chercher vos icônes dans le home de l’utilisateur qui
se connecte (dans "$REP_HOME/.mes_icones/" précisément) de manière similaire à ce qui est fait dans
exemple ci-dessus.

Attention, la fonction changer_icone n’a aucun effet sous la distribution Xubuntu
qui utilise l’environnement de bureau Xfce. Cela vient du fait que personnellement je ne sais pas changer l’image d’un icône en ligne de commandes sous Xfce.
Si vous savez, n’hésitez pas à me donner l’information par mail car je pourrais
ainsi étendre la fonction changer_icone à l’environnement de bureau Xfce.
Changer le papier peint en fonction des utilisateurs
Ça pourrait être sympathique d’avoir un papier différent suivant le type de compte... Et bien c’est
possible avec la fonction changer_papier_peint. Voici un exemple :
{
if [ "$LOGIN" = "admin" ]; then
changer_papier_peint "$REP_HOME/.backgrounds/admin.jpg"
fi
}
Le seul et unique argument de cette fonction est le chemin absolu (sur la machine cliente) du fichier
image servant pour le fond d’écran. Il faut bien sûr que ce fichier image soit au moins accessible en
lecture pour l’utilisateur qui se connecte.
Là aussi, comme pour les icônes, l’idée est de placer dans le profil par défaut distant un répertoire
(par exemple) qui contiendra les deux ou trois fichiers images dont vous avez besoin
pour faire vos fonds d’écran. Voici un exemple dans le cas d’un compte professeur :
.backgrounds/
Page 104/208
Samba Édu 3
En plus du changement de fond d’écran, il y a un petit message personnalisé qui s’affiche en haut à
droite du bureau. Pour mettre en place ce genre de message, voir la section 9.8.6 page 106.
L’activation du pavé numérique
Pour activer le pavé numérique du client GNU/Linux au moment de l’affichage de la fenêtre de
connexion du système, en principe ceci devrait fonctionner :
{
# On active le pavé numérique au moment de la phase d’initialisation.
}
Vous pouvez remarquer que, cette fois-ci, c’est le contenu de la fonction initialisation_perso qui a
été édité.
En revanche, pour activer le pavé numérique au moment de l’ouverture de session, procéder
exactement de la même façon à l’intérieur de la fonction ouverture_perso risque de ne pas fonctionner,
et cela pour une raison de timing. En effet, au moment où la fonction ouverture_perso sera lancée,
l’ouverture de session ne sera pas complètement terminée 19 et l’activation du pavé numérique risque
d’être annulée lors de la fin de l’ouverture de session. L’idée est donc de programmer l’appel de la
19. Et c’est normal qu’il en soit ainsi puisque l’ouverture de session de termine après l’exécution du script de logon,
même pas immédiatement après mais 1 ou 2 secondes après selon la rapidité de la machine hôte.
Page 105/208
Samba Édu 3
fonction activer_pave_numerique après l’exécution du script de logon, seulement au bout de quelques
secondes (par exemple 5), afin de lancer l’activation du pavé numérique une fois l’ouverture de session
achevée :
{
#
#
#
#
}
On ajoute un argument à l’appel de la fonction activer_pave_numerique.
Ici, cela signifie que l’activation du pavé numérique sera lancée 5
secondes après que le script de logon soit terminé, ce qui laissera
le temps à l’ouverture de session de se terminer.
activer_pave_numerique "5"
Incruster un message sur le bureau des utilisateurs pour faire classe
Pour incruster un message sur le bureau des utilisateurs, il faudra d’abord que le paquet conky soit
installé 20 sur le client GNU/Linux. Ensuite, tentez de mettre ceci dans la fonction ouverture_perso :
{
# On crée un fichier de configuration .conkyrc dans le home de l’utilisateur.
# précisant le contenu du message ainsi que certains paramètres (comme la
# taille de la police par exemple).
cat > "$REP_HOME/.conkyrc" <<FIN
use_xft yes
xftfont Arial:size=10
double_buffer yes
alignment top_right
update_interval 1
own_window yes
own_window_transparent yes
override_utf8_locale yes
text_buffer_size 1024
own_window_hints undecorated,below,sticky,skip_taskbar,skip_pager
TEXT
Bonjour $NOM_COMPLET_LOGIN,
Pensez bien à enregistrer vos données personnelles
dans le dossier :
Documents de $LOGIN sur le réseau
qui se trouve sur le bureau, et uniquement dans ce
dossier, sans quoi vos données seront perdues une
fois votre session fermée.
20. Vous pouvez par exemple lancer l’installation via un script *.unefois qui contiendrait à peu de choses près
l’instruction apt-get install --yes conky.
Page 106/208
Samba Édu 3
Cordialement.
Les administrateurs du réseau pédagogique.
FIN
# On fait de "$LOGIN" le propriétaire du fichier .conkyrc.
chown "$LOGIN:" "$REP_HOME/.conkyrc"
chmod 644 "$REP_HOME/.conkyrc"
#
#
#
#
}
On lancera conky à la fin, une fois l’exécution du script logon terminée.
Pour être sûr que l’ouverture de session est achevée, on laisse un délai
de 5 secondes entre la fin du script de logon et le lancement de la
commande conky (avec ses arguments).
executer_a_la_fin "5" conky --config "$REP_HOME/.conkyrc"
En principe, vous devriez voir apparaître un message incrusté sur le bureau des utilisateurs en haut à
droite. Ce message sera légèrement personnalisé puisqu’il contiendra le nom de l’utilisateur connecté.
Exécuter des commandes au démarrage tous les 30 jours
Toutes les commandes que vous mettrez à l’intérieur de la fonction initialisation_perso du fichier
logon_perso seront exécutées à chaque phase d’initialisation du système ce qui peut parfois s’avérer
un peu trop fréquent à votre goût. Voici un exemple de fonction initialisation_perso qui vous
permettra d’exécuter des commandes (peu importe lesquelles ici) au démarrage du système tous les
30 jours (pour peu que le système ne reste pas éteint indéfiniment bien sûr) :
{
local indicateur
indicateur="/etc/se3/action_truc"
# Si le fichier n’existe pas alors il faut le créer.
[ ! -e "$indicateur" ] && touch "$indicateur"
# On teste si la phase d’initialisation correspond à un démarrage du système.
if "$DEMARRAGE"; then
# On teste si la date de dernière modification du fichier est > 29 jours.
if find "$indicateur" -mtime +29 | grep -q "^$indicateur$"; then
echo "Les conditions sont vérifiées, on lance les actions souhaitées."
action1
action2
# etc.
# Si tout s’est bien déroulé, alors on peut mettre à jour la date
# de dernière modification du fichier avec la commande touch.
if [ "$?" = "0" ]; then
touch "$indicateur"
Page 107/208
Samba Édu 3
fi
fi
}
fi
L’idée de ce code est plus simple qu’il n’y paraît. Chaque client GNU/Linux intégré au domaine
possède un répertoire local /etc/se3/ (accessible en lecture et en écriture au compte root uniquement). Dans ce répertoire, le script y place un fichier texte vide qui se nomme action_truc (c’est un
exemple) et dont le seul but est de fournir une date de dernière modification. Au départ, cette date
de dernière modification coïncide au moment où le fichier est créé. Si, lors d’un prochain démarrage,
cette date de dernière modification est vieille de 30 jours ou plus, alors les actions sont exécutées
et la date de dernière modification du fichier action_truc est modifiée artificiellement en la date du
jour avec la commande touch.
9.9
Les logs pour détecter un problème
Après modification du script de logon, vous n’obtiendrez peut-être pas le comportement souhaité.
Peut-être parce que vous aurez tout simplement commis des erreurs. Afin de faire un diagnostic, il
vous sera toujours possible de consulter, sur un client GNU/Linux, quelques fichiers log qui se
trouvent tous dans le répertoire /etc/se3/log/. Voici la liste des fichiers log disponibles :
• 0.maj_logon.log : la mise à jour du script de logon local (via son remplacement par une copie
de la version distante) est un moment important et ce fichier indiquera si cette mise à jour a
marché ou non. La date de la mise à jour y est indiquée.
• 1.initialisation.log : ce fichier contiendra tous les messages (d’erreur ou non) suite à l’exécution
du script de logon local lors de la phase d’initialisation.
• 1.initialisation_distant.log : ce fichier contiendra tous les messages (d’erreur ou non) suite à
l’exécution, lors de la phase d’initialisation, du script de logon distant (celui qui se trouve sur
le serveur) et non celui qui se trouve en local sur le client GNU/Linux. Rappelez-vous que cela
se produit quand les deux versions du script de logon (la version locale et la version et distante)
sont différentes (ce qui est censé se produire ponctuellement seulement puisque la version locale
est ensuite mise à jour).
• 1.initialisation_perso.log : ce fichier contiendra tous les messages (d’erreur ou non) suite à
l’exécution, lors de la phase d’initialisation, de votre fonction initialisation_perso.
• 2.ouverture.log : ce fichier contiendra tous les messages (d’erreur ou non) suite à l’exécution
du script de logon local lors de la phase d’ouverture.
• 2.ouverture_perso.log : ce fichier contiendra tous les messages (d’erreur ou non) suite à l’exécution, lors de la phase d’ouverture, de votre fonction ouverture_perso.
• 3.fermeture.log : ce fichier contiendra tous les messages (d’erreur ou non) suite à l’exécution
du script de logon local lors de la phase de fermeture.
• 3.fermeture_perso.log : ce fichier contiendra tous les messages (d’erreur ou non) suite à l’exécution, lors de la phase de fermeture, de votre fonction fermeture_perso.
À chaque fois que le script de logon s’exécute, avant d’écrire sur le fichier xxx.log adapté à la
situation du moment, le fichier xxx.log, s’il existe déjà, est d’abord vidé de son contenu. Donc les
Page 108/208
Samba Édu 3
fichiers log ne seront jamais très gros. Par exemple, dans le fichier 1.initialisation.log, vous aurez
des informations portant uniquement sur la dernière phase d’initialisation effectuée par le client
GNU/Linux (pas sur les phases d’initialisation précédentes).
9.10
Un mot sur les imprimantes
Ne disposant personnellement d’aucune imprimante réseau, je n’ai jamais pu tester ce qui suit 21 .
Je suis donc loin de maîtriser l’aspect « gestion des imprimantes » sur les clients GNU/Linux. Ceci
étant, il faut bien évoquer ce point très important.
Sur un client GNU/Linux, le répertoire /mnt/netlogon/divers/ contient un sous-répertoire nommé
imprimantes/ qui vous permettra de stocker de manière centralisée des fichiers .ppd (pour « PostScript
Printer Description ») qui sont des sortes de drivers permettant d’installer des imprimantes sur les
clients GNU/Linux. Vous pouvez télécharger de tels fichiers (qui dépendent du modèle de l’imprimante) sur ce site par exemple :
http://www.openprinting.org/printers
Supposons que, dans le répertoire /mnt/netlogon/divers/imprimantes/, se trouve le fichier .ppd d’un
modèle d’imprimante réseau donné, vous pouvez alors lancer son installation sur un client GNU/Linux
via la commande suivante (en tant que root) :
lpadmin -p NOM-IMPRIMANTE -v socket://IP-IMPRIMANTE:9100 \<Touche ENTRÉE>
-E -P /mnt/netlogon/divers/imprimantes/fichier.ppd
Cette commande doit être en principe exécutée une seule fois sur le client GNU/Linux. Si tout
va bien, vous devriez ensuite 22 être en mesure d’imprimer tout ce que vous souhaitez à travers
vos applications favorites (navigateur Web, traitement de texte, lecteur de PDF etc). Si plusieurs
imprimantes sont installées sur un client, pour faire en sorte que l’imprimante NOM-IMPRIMANTE soit
l’imprimante par défaut, il faut exécuter en tant que root :
lpadmin -d NOM-IMPRIMANTE
Et pour supprimer l’imprimante :
lpadmin -x NOM-IMPRIMANTE
9.11
Désinstallation/réinstallation du paquet se3-clients-linux
9.11.1
Désinstallation complète
Si jamais vous souhaitez désinstaller complètement le paquet se3-clients-linux de votre serveur,
rien de plus simple. En tant que root sur le serveur, il suffit de lancer la commande suivante :
21. Si vous avez du code bash à me proposer pour automatiser l’installation des imprimantes sur les
clients GNU/Linux via par exemple la fonction initialisation_perso, je suis preneur (francois.lafont@crdp.
ac-versailles.fr).
22. Même après redémarrage du système.
Page 109/208
Samba Édu 3
apt-get purge se3-clients-linux
Et c’est tout. Une fois la commande ci-dessus exécutée, votre serveur ne garde plus la moindre
trace d’installation du paquet se3-clients-linux.

9.11.2
Attention, en désinstallant le paquet de la sorte (avec apt-get purge), tout le
répertoire /home/netlogon/clients-linux/ du serveur (et tout ce qu’il contient)
sera effacé. Si vous aviez pris la peine de vous concocter un fichier logon_perso à
votre sauce, d’écrire de nombreux scripts dans le répertoire unefois/ etc., tout
sera purement et simplement effacé.
Désinstallation partielle en vue d’une réinstallation
Avec la commande ci-dessous (où l’instruction purge est remplacée par remove), les choses se passent
un peu différemment :
apt-get remove se3-clients-linux
Le paquet se3-clients-linux est bien désinstallé comme dans le cas précédent, sauf que le répertoire
/home/netlogon/clients-linux/ du serveur n’est pas totalement effacé. Tous les fichiers/répertoires que
vous avez le droit de modifier seront conservés, si bien que l’arborescence du répertoire ressemblera
à ceci :
-- clients-linux/
|-- bin/
|
‘-- logon_perso
|-- distribs/
|
|-- precise/
|
|
‘-- skel/
|
‘-- squeeze/
|
‘-- skel/
|-- divers/
‘-- unefois/
Ainsi, après réinstallation du paquet, vous retrouverez inchangés :
•
•
•
•
le fichier logon_perso ;
tous les profils distants de chaque distribution prise en charge ;
le contenu du répertoire divers/ ;
le contenu du répertoire unefois/.
En résumé, une réinstallation du paquet se3-clients-linux avec conservation des fichiers/dossiers
modifiables se fait ainsi :
apt-get remove se3-clients-linux
apt-get install se3-clients-linux
Page 110/208
Samba Édu 3
Une telle réinstallation du paquet peut être utile si jamais, pour une raison ou pour une autre, vous
avez commis un certain nombre de modifications malheureuses en voulant « hacker » certains fichiers
du paquet et que vous souhaitez repartir de zéro sans pour autant perdre vos fichiers « personnels 23 ».
Autre cas où la réinstallation peut être utile : lors d’une mise à jour du paquet (auquel cas d’ailleurs
il sera plus naturel d’exécuter la commande « apt-get dist-upgrade »). Dans ce cas aussi, les fichiers
« personnels » seront conservés en l’état.
Remarque : ici, la notion de fichiers/répertoires « modifiables » ou « personnels » n’est pas à
prendre au pied de la lettre. Dans l’absolu, vous pouvez tenter de modifier ce que vous voulez dans
les fichiers du paquet se3-clients-linux. Simplement, sont considérés comme « modifiables » (ou
« personnels ») seulement les fichiers/répertoires conservés lors d’une réinstallation ou d’une mise
à jour du paquet.
9.12
Signaler un problème, faire une remarque etc.
Étant donné que le paquet se3-clients-linux fait partie du projet SambaÉdu, le mieux à faire
pour signaler un problème, faire une remarque etc. est de passer par la liste de diffusion SambaÉdu
[email protected] 24 . N’hésitez pas à me signaler toute erreur. Si vous
envoyez un message sur cette liste avec un objet assez évocateur (par exemple avec l’expression
« clients GNU/Linux » dedans), il y a peu de chance que je passe à côté. J’essayerai alors de vous
répondre et, dans la mesure du possible, de rectifier le problème.
9.13
Les évolutions du paquet
Ci-dessous, vous trouverez le contenu du fichier changelog du paquet. C’est une sorte de journal
qui décrit les modifications du paquet au fur et à mesure du temps :
23. Ce qu’on appelle les fichiers « personnels », ce sont les fichiers que vous avez le droit de modifier, ceux qui sont
en vert dans l’arborescence située à la section 9.2 page 75.
24. Attention, pour pouvoir écrire à cette liste de diffusion, il faut d’abord s’y inscrire : http://listes.tice.
ac-caen.fr/mailman/listinfo/samba-edu.
Page 111/208
Chapitre 10
Gérer les parcs machines
Sommaire
10.1
10.2
10.3
10.4
10.5
10.6
10.7
À quoi servent les parcs ? . . . . . . . . . . . . . .
Création d’un parc . . . . . . . . . . . . . . . . . .
Ajout d’une machine supplémentaire à un parc
Liste des parcs et actions possibles . . . . . . . .
Suppression de machines . . . . . . . . . . . . . .
Délégation de la gestion du parc . . . . . . . . .
Actions sur un parc . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
113
113
114
114
116
117
118
CHAPITRE 10. GÉRER LES PARCS MACHINES
10.1
Samba Édu 3
À quoi servent les parcs ?
Un parc est un groupe de machines, il permet de les regrouper selon certains critères : machines
d’une salle particulière, d’un certain modèle, possédant tel ou tel périphérique. Une machine peut
appartenir à plusieurs parcs, ce qui permet de multiples combinaisons : ordinateur du parc « tni »
et du parc « salleinfo » , ordinateur du parc « dvd » et du parc « salledesprofs » , etc.
Les parcs sont utilisés pour personnaliser les bureaux d’une salle, pour exécuter des actions (allumage automatique d’une salle par exemple), pour installer des applications automatiquement
avec le module Wpkg, pour cloner et sauvegarder des machines. Il est donc important de classer les
équipements en plusieurs ensembles. Une configuration simple et classique consiste au minimum à
créer :
• un parc par salle
• un parc regroupant toutes les machines (cela peut être très utile pour éteindre tous les postes
le soir)
Lors de la première connexion d’une machine au réseau, le nom Windows (NetBios) de celle-ci
sera automatiquement inscrit dans l’annuaire LDAP du serveur. Il est donc judicieux de bien choisir
le nom de chaque machine de manière à pouvoir facilement les identifier, par exemple salle103pc10.
10.2
Création d’un parc
L’ajout d’un parc permet d’y associer un « template », cela vous permettra d’agir sur l’environnement par défaut des machines du parc (logiciel, raccourcis, imprimante, etc).
Ce « template » est géré comme tous les autres « templates » de groupe.
La création d’un parc impose l’ajout d’une machine.
Page 113/208
10.3
Samba Édu 3
Ajout d’une machine supplémentaire à un parc
Comme ci-dessus. Auparavant, choisir le parc, puis cliquer sur « valider ».
Notez, sur la partie basse de l’illustration ci-dessus, qu’il est possible de créer un dossier de
template ultérieurement pour un parc existant auquel on n’aurait pas affecté de template lors de sa
création. Il est toutefois conseillé de le faire dès la création du parc.
10.4
Liste des parcs et actions possibles
Il est possible d’accéder à la liste des parcs existants sur le réseau afin d’en assurer la gestion.
Page 114/208
Samba Édu 3
Les stations apparaissent dans un tableau permettant de recenser divers renseignements :
• La première colonne permet un accès direct vers l’inventaire de la station (à condition que le
service soit activé).
• Le nom de la station dans la 2ème colonne est cliquable et permet d’accéder à l’historique des
connexions de la station.
• L’adresse IP de la station ou de l’imprimante est affichée.
• La date de la dernière connexion à la station. Cette dernière apparait en rouge si > 1 mois
• Une case à cocher permet de supprimer la machine du parc.
• La dernière colonne permet de supprimer complètement une machine : elle sera alors supprimée
de tous les parcs (et donc de l’annuaire).
Page 115/208
Samba Édu 3
Les icônes au dessus de l’interface permettent d’accéder aux différentes actions à effectuer sur le
parc.
10.5
Suppression de machines
Vous pouvez :
• Effacer des machines d’un parc.
• Effacer des parcs de l’annuaire.
• Effacer des machines n’appartenant à aucun parc.
La suppression d’une machine d’un parc n’entraîne pas la suppression définitive de la machine de
l’annuaire. Elle peut donc continuer à exister dans d’autres parcs ou sans parc.
Attention : Pour les versions récentes de SambaÉdu3, un parc vide est détruit. Donc lorsque
vous supprimez la dernière machine, le parc est supprimé en même temps.
Page 116/208
10.6
Samba Édu 3
Délégation de la gestion du parc
Il existe deux types de délégations :
• une délégation faible : « permettre à l’utilisateur de suivre le parc », qui consiste au seul droit
de lister les machines d’un parc
• une délégation forte qui permet d’accéder aux actions sur le parc
La délégation forte permet aussi à un utilisateur d’intervenir sur le « template » associé au parc,
contrairement à la délégation faible, qui permet simplement de suivre le parc dans l’interface.
Ce « template » apparaît alors dans le dossier « Mes Documents/Délégation » de l’utilisateur.
Le menu délégation permet de la même manière de déléguer un « template » quelconque (groupe
ou utilisateur).
Si l’on souhaite aussi que l’utilisateur soit administrateur des machines de son parc et qu’il puisse
donc modifier leurs configurations et installer des applications, on peut utiliser le paquet proposé par
le module wpkg : delegationIsAdminLocal.xml. Pour en savoir plus, consultez le chapitre consacré
à Wpkg. En couplant ce droit avec printers_is_admin, la personne sera en mesure de gérer les
imprimantes de son parc.
Page 117/208
10.7
Samba Édu 3
Actions sur un parc
Le menu « Programmer » permet d’allumer ou éteindre à distance les postes clients.
Sélectionner un parc pour agir sur toutes les machines qui le composent.
État : indique si la machine est éteinte ou allumée.
Connexions : indique qui a une session ouverte dessus.
Contrôle permet de prendre le contrôle du client, via le programme « bureau à distance » de Windows.
L’allumage des postes n’est possible que si l’option « wake on LAN » a été configurée dans leur
BIOS.
Attention, le pare-feu sur les clients XP peut empêcher l’extinction des postes...
Page 118/208
Chapitre 11
Maintenance de l’annuaire LDAP
Sommaire
11.1 Exportation des comptes sous forme de fichier csv . . . . . . . . . . . . 120
11.2 Nettoyage des comptes orphelins . . . . . . . . . . . . . . . . . . . . . . . 121
11.3 Récupération de l’annuaire après un problème . . . . . . . . . . . . . . . 122
CHAPITRE 11. MAINTENANCE DE L’ANNUAIRE LDAP
11.1
Samba Édu 3
Exportation des comptes sous forme de fichier csv
Il est possible d’exporter l’annuaire du serveur au format csv, un format texte qui peut ensuite
être ouvert dans un tableur. Il est possible d’exporter les comptes élèves et les comptes professeurs.
Cela permet par exemple de garder la trace des noms, logins et dates de naissance. Ce fichier peut
aussi vous permettre de créer des comptes dans d’autres applications, comme Claroline, spip, etc.
• « Export LDAP » permet d’exporter l’annuaire sous forme de fichier au format ldif. C’est ce
qu’il faut faire pour sauvegarder l’annuaire. Cette sauvegarde est essentielle : elle comporte les
utilisateurs et les machines de votre réseau.
• « Import LDAP » permet de récupérer un annuaire sauvegardé. Toutes les données sont écrasées.
• « Replica LDAP » permet la réplication avec un autre SE3, un SLIS, un LCS. Attention :
cette option n’est plus compatible entre un Slis4 et un SE3 Etch ou Lenny ! Une
autre procédure est à suivre (cf 3.1.5. de ce document).
Page 120/208
11.2
Samba Édu 3
Nettoyage des comptes orphelins
« Nettoyage des comptes » permet de gérer les comptes « orphelins », c’est-à dire ceux des utilisateurs qui ne sont pas dans le fichier d’extraction généré dans Sconet, et qui ont donc probablement
quitté l’établissement. Le serveur va pour établir la liste des comptes orphelins vérifier quels utilisateurs n’appartiennent plus à aucun groupe classes. Ils sont alors placés alors dans la branche
« trash » de ldap, la corbeille de l’annuaire. On peut choisir de les détruire, ainsi que leurs dossiers
« home ». Cette opération de nettoyage est importante, faute de quoi, les fichiers d’anciens élèves
vont s’accumuler sur votre serveur et il deviendra difficile de savoir quels répertoires homes sont
effaçables.
Le nettoyage des comptes se fait en plusieurs étapes :
• Lancer le processus en cliquant sur “Transfert des comptes orphelins dans la corbeille” : SambaÉdu3 recherche dans l’annuaire les comptes présents qui n’appartiennent plus à aucun
groupe, concrètement des professeurs ou des élèves qui ne sont plus dans aucune classe. Ces
comptes sont transférés dans la corbeille pour examen.
• On peut alors examiner le contenu de la corbeille et décider de récupérer ou non certains
comptes.
• Une fois le contenu de la corbeille vérifié et après avoir éventuellement récupéré certains comptes,
vous pouvez lancer la suppression : « Effacer les homes des comptes orphelins » ou « Déplacer
les comptes des homes orphelins vers un dossier temporaire » (dans ce cas ils sont mis dans un
dossier « Trash » dans le lecteur X :{} ) puis « Vider la corbeille ».
Page 121/208
Samba Édu 3
NB : Pensez que si vous avez eu besoin de créer des comptes manuellement (pour certains
membres de l’administration, la documentation, les cop...) après une importation de début d’année,
ceux-ci vont se retrouver dans la corbeille car ils n’appartiennent à aucun groupe. Pour éviter cette
situation, attribuez d’abord le droit « No_Trash_user » aux comptes concernés.
Rappel :
L’importation annuelle n’agit que sur l’annuaire LDAP :
•
•
•
•
•
conservation de tous les utilisateurs (élèves, profs, ...),
suppression de tous les groupes Classes, Équipes, Cours, Matières, déjà existants,
ajout des nouveaux utilisateurs,
création de tous les groupes de la nouvelle structure,
affectation des utilisateurs à ces groupes.
Cette importation annuelle n’a aucune action sur les dossiers existants dans les partitions /var/se3
et /home du serveur de fichier : elle ne fait que créer et remplir les classes dans l’annuaire, mais ne
modifie pas les répertoires associés.
Reportez-vous au chapitre consacré à la création des comptes pour plus d’information sur la
procédure de début d’année.
11.3
Récupération de l’annuaire après un problème
L’annuaire est sauvegardé régulièrement sur le serveur dans le dossier /var/se3/save/ldap
Il peut arriver qu’il tombe en panne, mais il vous est possible de recharger une ancienne version
très facilement.
Récupérer automatiquement un annuaire
• Ouvrez une session root sur le serveur (via SSH ou directement au clavier).
• Lancer le script “restaure_ldap.sh”
• Le script liste les sauvegardes présentes sur le serveur, une par jour de la semaine et d’autres
plus anciennes. Il vous est possible de copier une ancienne sauvegarde dans /var/se3/save/ldap
auparavant pour qu’elle soit listée.
• Choisissez la sauvegarde que vous souhaitez réimporter
• Entrez son nom et validez
Récupérer manuellement un annuaire
• Se connecter sur le serveur en root.
• Stopper ldap : /etc/init.d/slapd stop
• Sauvegarder DB_CONFIG : cp /var/lib/ldap/DB_CONFIG /root/
Page 122/208
Samba Édu 3
• Supprimer les fichiers LDAP corrompus : rm -f /var/lib/ldap/*
• Réimporter le LDAP :
slapadd -c -l /var/se3/save/ldap/jour\_de\_la\_semaine.ldif Le fichier ldif est sauvegardé tout les soirs, il faut donc utiliser celui de la veille.
• Recopier DB_CONFIG : cp /root/DB_CONFIG /var/lib/ldap/
• Réindexer (ça ne mange pas de pain) slapindex
• Relancer ldap /etc/init.d/slapd start
Page 123/208
Chapitre 12
Gérer les ressources et partages
Sommaire
12.1 Le partage K (Dossier personnel sur Se3) . . . .
12.1.1 Particularité pour les professeurs . . . . . . . . .
12.2 Le partage H (Classes sur Se3) . . . . . . . . . .
12.2.1 Du point de vue « élève » . . . . . . . . . . . . .
12.2.2 Du point de vue « professeur » . . . . . . . . . .
12.2.3 Du point de vue « administrateur » . . . . . . .
12.3 Le partage I (Docs sur Se3) . . . . . . . . . . . .
12.4 Le partage L (Progs sur Se3) . . . . . . . . . . .
12.5 Les partages suplémentaires de l’administrateur
12.5.1 Le partage X (Admhomes sur Se3) . . . . . . . .
12.5.2 Le partage Y (Admse3 sur Se3) . . . . . . . . . .
12.6 Résumé des droits sur les partages utilisateurs
12.7 Modification des droits sur les partages . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . 125
. . . . . . . . 125
. . . . . . . 125
. . . . . . . . 126
. . . . . . . . 127
. . . . . . . . 128
. . . . . . . 128
. . . . . . . 130
. . . . . . . 130
. . . . . . . . 130
. . . . . . . . 131
. . . . . . . 132
. . . . . . . 132
CHAPITRE 12. GÉRER LES RESSOURCES ET PARTAGES
12.1
Samba Édu 3
Le partage K (Dossier personnel sur Se3)
Dans le poste de travail, le lecteur réseau K: correspond au dossier privé « Home » de l’utilisateur
sur le serveur et comprend ses fichiers personnels.
On y trouve le répertoire « Docs » qui correspond au dossier « Mes documents ». On y trouve
également le « Bureau » et le menu « Démarrer » de l’utilisateur.
Ces répertoires ne sont en général pas utilisés directement, mais le plus souvent de façon transparente
via l’interface Windows : quand un utilisateur enregistre un document dans « Mes Documents », il
l’enregistre en fait dans « K :\Docs », qui lui même se trouve sur le serveur SambaÉdu3.
Les utilisateurs peuvent ainsi librement personnaliser les répertoires « Bureau », leur menu « Démarrer » et les retrouver sur n’importe quel poste Windows sur le réseau.
Il faut noter que, sur le serveur, le dossier « Home » est créé lorsqu’un utilisateur se connecte pour
la première fois sur le domaine. Un répertoire est créé dans se3:/home sur la base d’un modèle situé
dans le répertoire du serveur se3:/etc/skel/user. Ce répertoire aura comme nom l’identifiant
(uid) de l’utilisateur.
Ces espaces sont strictement personnels. Les élèves et les professeurs peuvent échanger des documents dans les autres espaces de stockage en réseau. SambaÉdu3 distingue donc des espaces
partagés et des espaces privés.
Seul l’utilisateur « admin » peut y avoir accès (voir partage X), mais cet accès doit être considéré
comme purement technique, l’administrateur réseau ayant vis à vis des utilisateurs le devoir de
respecter leur vie privée.
12.1.1
Particularité pour les professeurs
Si un professeur utilise la « distribution de devoirs », il retrouvera les copies d’élèves directement
dans le lecteur K:, dans un répertoire « devoirs ». Pour plus d’informations, voir la documentation
sur l’interface pédagogique.
12.2
Le partage H (Classes sur Se3)
Comme nous venons de le voir, dans un réseau SambaÉdu3, le dossier « Mes Documents » est
strictement privé, y compris pour les élèves. Les professeurs ne peuvent donc pas y avoir accès. À
la place, il faut utiliser le partage « Classes » dédié aux échanges de documents pédagogiques, qui
est accessible aux professeurs et aux élèves.
Page 125/208
12.2.1
Samba Édu 3
Du point de vue « élève »
Il contient les répertoires suivants :
- « login »
Un répertoire nommé sous la même forme que le login dans lequel il enregistrera tous les fichiers
qui concernent son travail scolaire. Ses professeurs auront accès à celui-ci par exemple pour corriger
ses travaux. En fin d’année s’il désire conserver certains de ses travaux, il lui faudra les enregistrer
dans K: son répertoire « Mes documents » puisque H: sera effacé.
- travail
Un répertoire « _travail » dans lequel l’élève ira chercher les documents déposés par le professeur.
Ce répertoire n’est accessible qu’en lecture.
- echange
Eventuellement, si l’administrateur l’a créé, un troisième répertoire « _echange » dans lequel les
élèves et profs de la classe peuvent partager des documents. Accès en lecture/écriture.
Page 126/208
12.2.2
Samba Édu 3
Du point de vue « professeur »
C’est le partage contenant l’ensemble des répertoires classe du professeur. Chacun des répertoires
classes contient :
• Un répertoire par élève de sa classe dans lequel celui-ci enregistrera tous les fichiers qui concernent son travail scolaire.
Le professeur y aura accès, par exemple pour corriger les travaux.

En début d’année, lorsque les données sconet/STSweb ne sont pas à jour, les
professeurs ne voient pas leurs classes. La solution consiste alors à cocher l’option
« Droits du groupe Profs » dans le menu « Répertoires Classes » de la « Gestion
des partages ». Les professeurs auront accès temporairement à l’ensemble des
classes.
• Un répertoire « _Travail » dans lequel il enregistrera les documents devant être mis à disposition des élèves. Ce répertoire n’est accessible qu’en lecture pour les élèves, ils ne pourront donc
pas modifier ces documents. Les élèves devront alors copier le document dans leur répertoire,
s’ils désirent le modifier.
• Un répertoire « _profs » accessible seulement par les professeurs, et permettant d’échanger des
informations avec l’équipe pédagogique de la classe.
Page 127/208
Samba Édu 3
• Eventuellement, si l’administrateur l’a activé, le répertoire « _echange » dans lequel les élèves
et professeurs de la classe peuvent partager des documents. Accès en lecture/écriture.
12.2.3
Du point de vue « administrateur »
L’administrateur a évidemment accès en lecture et écriture à toutes les classes et aux dossiers
d’échanges.
Comme il a été indiqué ci-dessus, il est le seul à pouvoir créer et autoriser l’utilisation d’un
troisième répertoire « _echange » dans lequel les élèves et professeurs de la classe peuvent partager
des documents (à moins de déléguer aux professeurs un droit spécial : « _echange_can_administrate »).
S’il est verrouillé, il est inaccessible aux utilisateurs.
Le déverrouillage peut être éventuellement planifié (par exemple, dans le cas d’un travail de groupe
tel que IDD ou TPE)
L’administrateur aura pour rôle de créer les dossiers « classes » en début d’année et de les rafraichir
lorsque des élèves ou professeurs arrivent en cours d’année. Pour plus de détails, se reporter au
chapitre « L’importation en début d’année » et « En cours d’année : les autres importations ».
12.3
Le partage I (Docs sur Se3)
C’est une zone d’échange de fichiers.
• Elle comprend par défaut un répertoire « public » dans lequel l’ensemble des utilisateurs peut
ouvrir, enregistrer, supprimer, modifier tous les fichiers. L’usage de ce répertoire doit être temporaire car tout fichier peut-être effacés par n’importe qui.
Page 128/208
Samba Édu 3
• Un autre répertoire « media » est visible pour tous les utilisateurs si le module « Système Fonds
d’écran » a été activé. Celui-ci contient les fonds d’écran des utilisateurs. Seul l’administrateur
peut visualiser le contenu du dossier et gérer les fonds d’écran.
• Dans le profil « professeur » un répertoire supplémentaire « Trombine » est visible et accessible
en lecture seule, dans lequel se trouve les fichiers constituant le trombinoscope de tous les
utilisateurs (seul admin a les droits sur ce répertoire).
Pour alimenter le trombinoscope, il suffira à l’administrateur de déposer toutes les photos au
format login.gif, login.png, login.jpg ou login.jpeg. Les fichiers n’étant pas ordonnés par groupe,
pour qu’un professeur visualise le trombinoscope d’une classe ou d’un groupe en particulier, il
sera plus pratique de passer par l’interface web, dans l’annuaire, sélectionner une classe ou un
groupe, puis cliquer sur « Afficher un trombinoscope du groupe ».
• Enfin, le profil de l’administrateur verra dans le partage I, en plus des trois autres, un dossier
supplémentaire « deploy », lui permettant de déposer des fichiers ou des dossiers à déployer
vers des groupes d’utilisateurs (voir le chapitre « Déploiement de fichiers ou de répertoires »
pour plus de précisions).
D’autres répertoires peuvent être créés par l’administrateur en fonction des besoins. Cela peut-être
pour un club, un groupe de professeurs, un groupe d’élèves. Seuls les utilisateurs de ces groupes
y ont accès. Ces partages et leurs droits sont gérés librement par l’administrateur. Se reporter au
chapitre « Les dossiers partagés » pour plus de précisions.
Page 129/208
12.4
Samba Édu 3
Le partage L (Progs sur Se3)
C’est dans ce partage que sont installés les logiciels réseau. Il ne faut surtout pas aller les modifier,
cela pourrait créer des dysfonctionnements.
Le dossier « ro » est en lecture seule, le dossier « rw » est en lecture-écriture.
12.5
Les partages suplémentaires de l’administrateur
L’administrateur, a bien entendu tous les droits sur les répertoires H (Classes), I (Docs) et L
(Progs) des autres utilisateurs. Il dispose de deux nouveaux répertoires contenus dans les partages
X et Y.
12.5.1
Le partage X (Admhomes sur Se3)
Dans ce partage il y a tous les répertoires homes des utilisateurs du réseau ainsi que les répertoires
templates et netlogon :
• Homes : L’accès au Home des utilisateurs peut permettre d’ajouter des raccourcis vers des
logiciels, ou d’en supprimer, voire d’effacer certaines données. Cet accès doit être utilisé avec
discernement et de manière exceptionnelle, les utilisateurs d’un réseau ayant le droit de conserver un espace strictement privé.
Page 130/208
Samba Édu 3
• Templates : C’est ici que sont les répertoires au nom des parcs machines, des machines, des
groupes, etc. permettant de fabriquer l’environnement des différents utilisateurs suivant la machine sur laquelle il travaille.
• Netlogon : Dans ce répertoire vous avez un fichier par utilisateur dans lequel sont récapitulés
tous les scripts (logon.bat des répertoires situés dans templates) de sa dernière connexion. Cela
permet de contrôler, débugger les Templates.
12.5.2
Le partage Y (Admse3 sur Se3)
C’est un lien qui pointe vers tous les partages du répertoire /var/se3 du serveur. On y trouve
donc entre autres les partages H (Classes), I (Docs) et L (Progs), ainsi que ceux que créés par
l’administrateur, mais aussi d’autres partages comme save (contenant les sauvegardes journalières
d’un certain nombre de fichiers sensibles), synchro (si le module a été activé), unattended (idem).
A noter que le partage Progs contient des dossiers affichés uniquement ici (et non dans L) comme
install, dans ro : inventory, italc, printers (seulement si les modules/logiciels sont actifs
Page 131/208
12.6
Samba Édu 3
Résumé des droits sur les partages utilisateurs
Les droits disponibles sont les suivants :
• Le droit de lecture : il est possible de lire le contenu d’un fichier ou de lister le contenu d’un
répertoire.
• Le droit d’écriture : il est possible de modifier ou d’effacer un fichier ou d’ajouter et d’effacer
des fichiers dans un répertoire
• Le droit d’exécuter : il est possible de lancer un exécutable ou d’ouvrir un répertoire
Le tableau suivant résume les droits par défaut sur les partages vus ci-dessus. Ces droits sont
notés R (read) pour lecture W (write) pour écriture et X (execute) pour exécution.
12.7
Modification des droits sur les partages
Les droits vus sur l’interface :
Page 132/208
Samba Édu 3
SambaÉdu3 peut attribuer des droits particuliers à chaque fichier et à chaque répertoire. Il est
possible de modifier les droits par défaut à un fichier ou un dossier pour un groupe ou des utilisateurs
précis.
On peut par exemple donner le droit de lire, d’écrire et d’éxécuter au groupe Profs sur un répertoire
et d’autres droits sur ce même répertoire au groupe Elèves.
Page 133/208
Chapitre 13
Les dossiers partagés
CHAPITRE 13. LES DOSSIERS PARTAGÉS
Samba Édu 3
Le serveur SambaÉdu3 propose plusieurs partages réseau pré-construits : public, classes, personnels. Il est néanmoins parfaitement possible de créer de nouveaux partages et d’y associer des droits
specifiques pour répondre à un besoin particulier : club cinéma où élèves et professeurs doivent
pouvoir déposer des documents, répertoire privé partagé au niveau d’une équipe de professeurs,
répertoire partagé par un petit groupe d’élèves dans le cadre d’un travail en groupe, etc.
Pour créer un nouveau partage réseau, à partir du menu « Gestion des partages », sélectionnez
« Création de partages »
Indiquez :
• Nom du partage : C’est le nom du partage qui apparaîtra dans le voisinage réseau de vos stations
clientes.
• Chemin /var/se3/ : C’est le nom du sous-répertoire qui sera créé dans /var/se3/ (si celui-ci
n’est pas créé, le faire à la main soit sur le serveur soit à partir d’un client avec le compte
admin).
• Commentaire : C’est le commentaire qui sera associé à ce nouveau partage
• Utilisateur(s) (autorisés/refusés) :
• Autorisés (valid users) : Les utilisateurs ou groupes d’utilisateurs qui ont accès à ce partage.
• Refusés (invalid users) : Les utilisateurs qui n’ont pas accès à ce partage.
• Utilisateur(s) ayant les droits d’administration sur ce partage : Ce paramètre (admin users) vous
permet de préciser les utilisateurs ou les groupes d’utilisateurs ayant les droits d’administration
sur ce partage.
• Limitation d’accès à un parc : Vous pouvez ici choisir un parc dans la liste afin de limiter l’accès
à ce partage aux machines du parc que vous aurez sélectionnées. Si vous laissez ce champ vide,
il n’y aura pas de restriction d’accès au niveau parc sur ce partage.
(*) Les champs où l’on demande un ou des utilisateurs doivent être renseignés par des utilisateurs
ou groupes posix ( Classes_, Cours, Autres...) de l’annuaire ldap.
Ils seront séparés d’une virgule et devant les groupes sera noté le caractère @.
Exemple : admin, @admins, @eleves
Il est possible après la création du répertoire, de modifier ou d’affiner les ACLs (Access Control
List).
Cliquez sur « Droits sur fichiers », sélectionnez le répertoire puis les sous répertoires ou fichiers
pour lesquels vous voulez modifier les droits.
Cliquez sur le bouton « Valider ».
Vous pouvez modifier les droits pour les utilisateurs et les groupes actuellement propriétaires, modifier les droits hérités pour les nouveaux dossiers ou fichiers créés dans un répertoire.
Page 135/208
Samba Édu 3
Vous pouvez ajouter un utilisateur ou un groupe supplémentaire.
Il est possible de créer un partage et d’y associer un lecteur réseau pour un « template »
Exemple : Ajout d’un lecteur réseau pour le groupe « Profs »
Page 136/208
Samba Édu 3
• Ajoutez un partage réseau dans /var/se3
• Ajoutez la ligne suivante dans le logon.bat du « template » « profs » :
net use P: //nom_du_serveur/nom_du_partage
Vérifiez avec un compte prof, que le lecteur P a bien été créé.
Page 137/208
Chapitre 14
Déploiement de fichiers ou répertoires
dans les « homes »
Sommaire
14.1 Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
14.2 Exemple 1 : déployer un dossier contenant une documentation dans
les dossiers personnels des utilisateurs . . . . . . . . . . . . . . . . . . . . 140
14.3 Exemple 2 : déployer tous des paramètres de Firefox sur l’ensemble
les profils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
CHAPITRE 14. DÉPLOIEMENT DE FICHIERS OU RÉPERTOIRES DANS LES « HOMES »
14.1
Samba Édu 3
Fonctionnement
Le menu « Clients Windows » / « Déploiement » permet à l’administrateur d’envoyer un fichier
à tous les utilisateurs. Cela est très utile, par exemple pour placer une charte informatique dans
tous les répertoires « Mes Documents » ou encore pour fixer certaines configurations en envoyant
un fichier .ini dans le répertoire profil des usagers.
Le fichier ou répertoire à déployer doit se situer dans le répertoire partagé « I :\deploy ».
Pour éviter que des fichiers oubliés dans ce répertoire soient déployés, il est indispensable de ne
mettre qu’un et un seul fichier ou répertoire à la racine « deploy ». S’il y en a plusieurs, lorsque
vous validerez, un message d’erreur apparaîtra et l’opération sera stoppée.
On accède donc à une page sur laquelle les renseignements ci-dessous sont demandés :
• Répertoire dans lequel sera effectuée la copie : Ces répertoires correspondent aux contenus des
« home » de chaque utilisateur.
• Voulez-vous écraser le répertoire ou fichier si celui-ci existe déjà ? : Cela permet d’éviter d’écraser
un fichier s’il existe déjà pour quelques utilisateurs. Ils pourront ainsi conserver leurs données.
• Sélectionner le(s) groupe(s) pour le déploiement : Un ou plusieurs groupes classés par catégorie
peuvent être sélectionnés avec l’aide des touches ctrl et shift.
Après validation quelques tests sont effectués et un récapitulatif de vos choix est présenté. Ce qui
vous permet de confirmer ou pas le déploiement.
Page 139/208

14.2
Samba Édu 3
Ne pas oublier d’enlever les fichiers du répertoire « Deploy » une fois l’opération
terminée
Exemple 1 : déployer un dossier contenant une documentation dans les dossiers personnels des utilisateurs
Dans cet exemple, on considère que l’on veut mettre à disposition dans le « Mes documents » des
utilisateurs un dossier contenant des documentations sur les différents services de l’établissement
(par exemple comment se servir de l’interface SambaÉdu3, comment accéder à l’ENT, etc.) et ceci
en fonction du profil professeur ou élève.
Il s’agit dans un premier temps de créer un dossier « Aide utilisateur élève » correspondant au
profil élève, puis un autre dossier « Aide utilisateur prof » contenant les documents d’aide pour les
professeurs.
Pour déployer ces dossiers, il faut se connecter en « admin », puis placer le premier dossier élève
dans « I :\deploy ». Se rendre ensuite sur l’interface du SambaÉdu3, puis menu « Clients Windows »
/ « Déploiement ».
Choisir le répertoire de déploiement : cliquer sur Docs.
Approuver l’option « Voulez-vous écraser le répertoire ou le fichier si celui-ci existe déjà ? ».
Sélectionner le groupe « Elève » situés dans « Autres » à droite de l’écran.
Un récapitulatif est présenté. Confirmer l’opération s’il n’y a pas eu erreur dans les manipulations ci-dessus.
• Renouveler l’opération en remplacant d’abord le dossier « Aide utilisateur élève » par celui
correspondant aux professeurs dans « I :\deploy ». Cette fois, il s’agira de choisir le groupe
Profs pour le déploiement.
•
•
•
•
Il ne reste plus qu’à nettoyer le dossier « Deploy ».
14.3
Exemple 2 : déployer tous des paramètres de Firefox
sur l’ensemble les profils
On souhaite dans notre exemple déployer sur l’ensemble des profils utilisateurs une configuration
complète de Firefox (marques-pages, paramètres de proxy, etc.) On considère que la même version de
Firefox est installée sur l’ensemble du parc (cf chapitre « Déploiement automatisé d’applications »
Firefox est géré dans chaque session utilisateur par un ensemble de fichiers situés dans chaque
« home », ce qui permet à chacun de personnaliser son navigateur. Ce dossier est situé dans « K :\profil\appdata\Mozilla\Firefox\Profiles \default » sur SE3 et il est nécessaire d’activer l’affichage des
Page 140/208
Samba Édu 3
fichiers et dossiers cachés pour le visualiser.
On configure tout d’abord Firefox dans un profil (le plus commode est admin, mais cela peut être
n’importe quel utilisateur) avec tous les paramètres voulus.
Ensuite, il suffit de quitter Firefox, puis de copier le répertoire « default » dans « I :\deploy ». S’il
s’agit de la configuration d’un autre utilisateur qu’admin, nous utiliserons le partage X pour aller
récupérer le dossier dans le home de l’utilisateur.
Il ne reste plus qu’à se rendre dans l’interface de SambaÉdu3, dans le menu « Clients Windows »
/ « Déploiement ».
• Choisir le répertoire de déploiement : cliquer successivement sur profil, appdata, Mozilla, Firefox, Profiles.
• Approuver l’option « Voulez-vous écraser le répertoire ou le fichier si celui-ci existe déjà ? ».
• Sélectionner à l’aide de la touche CTRL tous les groupes situés dans « Autres » à droite de
l’écran.
• Un récapitulatif est présenté. Confirmer l’opération s’il n’y a pas eu erreur dans les manipulations ci-dessus.
Tous les utilisateurs ont maintenant hérités des réglages de l’utilisteur modèle dans Firefox. Bien
entendu, on pourrait envisager ce déploiement que pour quelques utilisateurs ou groupes. Il ne reste
plus qu’à nettoyer le dossier « Deploy ».
A noter que cette manipulations ne concerne que les utilisateurs présents dans l’annuaire. Pour
tout nouvel utilisateur, il peut être intéressant de remplacer le dossier « default » dans le « home »
de l’utilisateur modèle skeluser. Cette manipulation faite, tout nouvel utilisateur bénéficiera d’une
bonne configuration lors de la création de son compte.
Page 141/208
Chapitre 15
Gestion des devoirs par les professeurs
Sommaire
15.1
15.2
15.3
15.4
15.5
Que fait la distribution de devoir ?
Distribuer le devoir . . . . . . . . .
Récupération des devoirs . . . . . .
Envoi de corrigés . . . . . . . . . . .
Gestion des devoirs . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
143
143
144
145
145
CHAPITRE 15. GESTION DES DEVOIRS PAR LES PROFESSEURS
15.1
Samba Édu 3
Que fait la distribution de devoir ?
Le module distribution de devoir permet à un professeur trois types de distributions :
• une distribution simple qui lui permet d’envoyer un ou plusieurs fichiers à certains élèves ou à
une classe entière, par exemple un énoncé, un document, une fiche de TD.
• une distribution de devoirs qui lui permet d’envoyer un sujet, puis dans un deuxième temps de
récupérer les travaux d’élèves, sous forme de fichiers
• une distribution complète de devoir qui lui permet, d’envoyer un sujet, de récupérer les travaux
d’élèves, puis de les corriger et de les renvoyer corrigés aux élèves
15.2
Distribuer le devoir
Indiquez les paramètres de distribution :
Le document de type « devoir » permet par la suite une gestion de la récupération à la différence
de « simple distribution ».
Suite à la validation, sélectionnez la ou les classes concernées.
Dans le cas d’un devoir, son nom sera aussi le nom du dossier contenant le devoir reçu par les
élèves.

Il faut veiller à ce qu’il soit unique, sans caractères spéciaux, sans espaces ni
accents, par exemple « FrancaisTD1 ».
Après la distribution le fichier sera donc dans le répertoire “Classes/Nom_de_la_classe/Nom_eleve/Nom_
Le nom du fichier à rendre sera le nom du fichier que les élèves indiqueront au moment de rendre
leur travail. L’extension est libre : si vous indiquez ”td“ dans le champ ”Fichier à rendre“ du formullaire, les élèves pourront enregistrer leur travail sous la forme td.pdf ou td.odt ou encore td.jpg.
Indiquez la date de retour et un commentaire.
Page 143/208
Samba Édu 3
Sélectionnez le fichier à distribuer.
Cette action permet la création d’un dossier au nom du devoir dans H:\nom de la classe\nom
de l’élève.
15.3
Récupération des devoirs
La récupération se fait en cliquant sur le bouton « 1ère récupération ».
Les actions de « récupération » recherchent le fichier du devoir préparé par chaque élève dans le
dossier du devoir de leur répertoire de classe. Cette recherche s’appuie sur le nom du fichier indiqué
au moment de la création du devoir, de sorte que les élèves doivent obligatoirement nommer ce
fichier du nom indiqué dans « fichier à rendre » (avec une casse quelconque).
S’il est trouvé, celui-ci est recopié dans le poste de travail du professeur avec le chemin K:\Devoirs\nom
du devoir, en prenant le nom de chaque élève et en gardant l’extension d’origine, afin de faciliter
la liaison avec le logiciel correspondant.
Page 144/208
Samba Édu 3
L’action « Terminer » est déclenchée au moment où le professeur le souhaite (par exemple lorsque
la date d’échéance prévue pour le devoir est dépassée).
Il est alors possible par la suite d’envoyer des corrigés.
15.4
Envoi de corrigés
2 types de documents sont disponibles :
• Envoi des « devoirs corrigés » : une copie corrigée du devoir de l’élève sera envoyée dans le dossier
adéquat sous le nom standard DEVOIR-CORRIGE (en gardant son extension). Cette fonction
implique que le professeur ouvre chaque ”copie“ d’élève, la corrige et l’annote directement dans
le logiciel, puis la renvoie aux élèves.
• Envoi d’un « corrigé-modèle » : Le fichier contenant le corrigé-type sera envoyé à chaque élève
concerné, qui le recevra sous le nom CORRIGE (en gardant son extension).
15.5
Gestion des devoirs
Cette page permet de modifier les propriétés d’un devoir ainsi que reprendre la récupération d’un
devoir ou bien l’archiver (dans ce cas, il n’y a plus d’action possible).
Page 145/208
Chapitre 16
Gérer les « templates » (modèles)
Sommaire
16.1
16.2
16.3
16.4
16.5
16.6
16.7
Fonctionnement des templates . . . . . .
Les sous-répertoires associés aux groupes
Le répertoire base . . . . . . . . . . . . . .
Application et combinaison de templates
Le sous-répertoire skeluser . . . . . . . . .
Le script de connexion . . . . . . . . . . .
Cas de windows XP et 2000 . . . . . . . .
. . . . . . . . . . . . . . . . . . 147
d’utilisateurs ou de machines148
. . . . . . . . . . . . . . . . . . 149
. . . . . . . . . . . . . . . . . . 149
. . . . . . . . . . . . . . . . . . 150
. . . . . . . . . . . . . . . . . . 150
. . . . . . . . . . . . . . . . . . 151
CHAPITRE 16. GÉRER LES « TEMPLATES » (MODÈLES)
16.1
Samba Édu 3
Fonctionnement des templates
Les « templates » sont des répertoires qui permettent de construire le bureau type des utilisateurs
de votre réseau et d’offrir à tout le monde les mêmes raccourcis.
À chaque connexion d’un utilisateur le système observe à quel(s) groupe(s) il appartient et à
quel(s) parc(s) appartient la machine sur laquelle il se connecte. Pour chaque groupe et chaque
parc, le serveur ajoute les raccourcis prévus : l’utilisateur hérite sur son bureau et dans son menu
démarrer de toutes les icônes présentes dans les différents templates exécutés. L’appartenance dans
l’annuaire LDAP d’un utilisateur à un groupe (ou d’un PC à un parc machine), permet l’exécution
du template ayant le même nom.
Par exemple, un élève de la classe « classe_elec » se connectant sur un PC du parc machine
« cdi », héritera des configurations présentes dans les répertoires « base », « eleve », « classe_elec »,
« cdi » du répertoire template.
Un prof se connectant sur la même machine héritera lui des configurations présentes dans les
répertoires « base », « prof », « cdi » (plus celles des autres groupes auxquels il appartient).
Le bureau peut donc être géré très finement en fonction de l’utilisateur et de la machine sur laquelle
il se connecte.
Les templates sont gérés par l’administrateur à partir du répertoire templates dans le partage
X:\admhomes\templates. Dans ce répertoire, on créé un répertoire pour chaque groupe ou chaque
parc pour lequel on souhaite définir une configuration type.
Le répertoire de chaque template contient :
• un ou des scripts logon.bat lancé au login de l’utilisateur, ils exécutent certaines commandes
windows, comme l’installation d’un partage réseau, d’une imprimante propre à un parc ou un
groupe.
• un répertoire Bureau où l’on place des fichiers, en général, des raccourcis
• un répertoire Demarrer où l’on place des raccourcis à ajouter au menu Démarrer

Le bureau et le répertoire Démarrer d’un utilisateur se composent à partir de
l’ajout des fichiers figurant dans 3 endroits : sur le poste “/documents and
settings/all users”, sur le serveur le bureau personnel de l’utilisateur et sur le
serveur les répertoires “templates”.
Page 147/208
16.2
Samba Édu 3
Les sous-répertoires associés aux groupes d’utilisateurs
ou de machines
Les templates correspondent soit à des groupes d’utilisateurs, soit à des parcs de machines. Le
nom du répertoire à créer dans X:\admhomes\templates doit être identique au nom du groupe ou
au nom du parc, en particulier il doit être écrit en minuscules afin que celui-ci puisse fonctionner.
À la création d’un parc, il vous est demandé si vous souhaitez ou non créer un « template pour
ce parc ». Si vous avez coché cette option, le serveur aura créé un répertoire au nom du parc dans
X:\admhomes\templates.
Certains templates sont créés à l’installation de SE3 afin d’assurer un fonctionnement minimum :
•
•
•
•
admin
base
eleves
profs
Le contenu de vos répertoires de templates doivent avoir une arborescence particulière :
• un répertoire « Bureau »
• un répertoire « Demarrer »
• à la racine d’éventuels scripts de login : logon.bat (pour tous les clients), logon_Win2K.bat et
logon_Win95.bat si vous avez des clients 9x et 2000
Page 148/208
Samba Édu 3
Si vous souhaitez créer un nouveau template pour un parc, utilisez le menu
Gestion des Parc → Ajout → Créer les dossiers de templates.
Dans le cas d’un groupe, vous pourrez activer le template à partir du menu
Annuaire → Recherche → Modification → nom_du_groupe
Vous pouvez aussi créer un nouveau répertoire dans X:\admhomes\templates au nom du groupe
ou du parc et contenant les répertoires nécessaires.
16.3
Le répertoire base
Le répertoire base est le premier template exécuté. Celui-ci est appliqué à tous les utilisateurs,
quels que soient leurs groupes, il est donc souvent préférable de faire les modifications sur d’autres
templates (profs et eleves par exemples), sauf si vos paramétrages concernent tous les utilisateurs
du réseau.
Dans le répertoire base, on trouve les scripts de connexion par défaut appliqués au démarrage des
clients en fonction de l’OS (logon.bat, logon_Win2K.bat, logon_Win95.bat).
• Par défaut, seul logon.bat est utilisé, il permet les connexions aux lecteurs réseaux « Home »,
« Docs », « Classes », « Progs ».
• Dans le sous-répertoire « Bureau », vous pouvez ajouter des icônes qui apparaîtront sur le
bureau des utilisateurs de ce groupe, dès la prochaine connexion.
• Dans le sous-répertoire « Démarrer », vous pouvez paramétrer les icônes du menu démarrer qui
apparaîtront sur le bureau des utilisateurs de ce groupe, dès la prochaine connexion.
16.4
Application et combinaison de templates
La construction de l’environnement utilisateur se fait selon le parc machine sur lequel il se connecte, selon les groupes auxquels il appartient ou les deux ensemble (double template).
• Cas du parc de machines : Après avoir défini un parc de machine, créer une copie du
répertoire base au nom de votre parc de machine. Attention, le nom doit être en minuscule.
Toutes les modifications que vous apportez à ce répertoire se répercuteront dans le parc choisi.
• Cas d’un groupe : Les mêmes modifications sont possibles. Les répertoires élèves et profs
préexistants permettent de travailler sur les groupes les plus utiles. Il est possible de créer un
groupe particulier en cas de nécessité ou d’utiliser les groupes classes, mais dans ce cas, il faut
veiller à passer tous les noms en minuscules.
Page 149/208
Samba Édu 3
• Ex : classe_4g4 , equipe_4g4 , ..... Attention, le groupe classe ne contient pas les professeurs
de la classe, il faut donc traiter deux répertoires un pour les profs « equipe_4g4 » et un pour
la classe « classe_4g4 » si l’on veut travailler sur une classe et ses professeurs. Il est également
possible de travailler uniquement sur une matière dans la classe, par exemple créer un répertoire
« cours_maths_4g4 » dans templates permet de travailler sur le bureau des élèves de 4G4 et
sur le bureau du prof de maths de la classe.
• Cas des doubles templates : Si vous souhaitez combiner l’application du template en fonction
par exemple du parc machine « graveur » et du groupe « profs », il faut créer un répertoire
de template appelé « profs@@graveur » les deux arobases permettant la combinaisons de deux
groupes ou parcs. Dans cet exemple, seuls les utilisateurs du groupe « profs » connectés sur
une machine appartenant au parc machine « graveur » hériteront des raccourcis que vous aurez
placés dans X:\admhomes\templates\profs@@graveur\Bureau.
Il est possible de faire des doubles templates de type :
•
•
•
•
utilisateur@@machine
utilisateur@@parc_machine
groupe_utilisateur@@machine
groupe_utilisateur@@parc_machine
16.5
Le sous-répertoire skeluser
Dans ce sous-répertoire, se trouve le profil par défaut des utilisateurs. Lorsqu’un utilisateur s’identifie pour la première fois sur le réseau, il n’a pas encore de répertoire personnel : son bureau,
ses documents et son menu démarrer sont copiés à partir du modèle « skeluser ». Par la suite, ce
modèle ne servira plus, mais l’environment de l’utilisateur sera composé de ses fichiers personnels
et des fichiers et raccourcis hérités des templates qui le concernent.
16.6
Le script de connexion
Lors de la première connexion d’un utilisateur, un répertoire à son nom est créé dans admhomes,
on parle de son “home”, il est sur le serveur dans /home/identifiant où identifiant est l’identifiant
Page 150/208
Samba Édu 3
de l’utilisateur.
A chaque connexion, un script de connexion est créé et placé dans le répertoire netlogon (/home/netlogon). Il comprend tous les scripts logon.bat qui concernent l’utilisateur, celui de base et celui
des autres templates (profs, eleves, parc, etc). Si plusieurs logon.bat sont utilisés, l’ordre d’apparition dans le logon.bat final de l’utilisateur est : base, groupes puis parcs.
Ce script de login est recréé à chaque login en fonction des templates.
Les modifications effectuées dans logon_Win2K ne sont prises en compte que lorsque le client est
Windows 2000 ou Windows XP.
Les modifications effectuées dans logon_Win95 ne sont prises en compte que lorsque le client est
Windows95 ou Windows98.
16.7
Cas de windows XP et 2000
Certaines fonctionnalités supplémentaires sont utilisées : synchronisation des fichiers, traitement
des fichiers hors connexion , sauvegarde des favoris.
Le répertoire profile est alors utilisé pour stocker le profil errant. Mais les modifications doivent être
placées dans profil pour être prises en compte. Si on supprime ce répertoire il est recréé automatiquement à partir du répertoire default user, qui se trouve dans netlogon.
Lors des deux premières connexions sur un poste Windows 2000/XP, des messages d’erreurs liés à
l’absence des répertoires personnels de l’utilisateur apparaissent. Ils n’apparaîtront plus ensuite.
Page 151/208
Chapitre 17
Informations machines et utilisateurs
Sommaire
17.1 Les connexions actives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
17.2 Historique des connexions . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
CHAPITRE 17. INFORMATIONS MACHINES ET UTILISATEURS
17.1
Samba Édu 3
Les connexions actives
Cette fonction permet de savoir qui est connecté en ce moment et sur quel client.
17.2
Historique des connexions
Il faut d’abord choisir un critère de sélection et saisir, selon le cas, l’IP, le nom de la machine ou
de l’utilisateur.
En cliquant sur l’identifiant d’un utilisateur, on accède à l’historique de ses connexions.
Page 153/208
Chapitre 18
Gestion du disque du serveur
Sommaire
18.1 Occupation des partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
18.2 Occupation des répertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
18.3 Détermination des quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
CHAPITRE 18. GESTION DU DISQUE DU SERVEUR
18.1
Samba Édu 3
Occupation des partitions
Il faut en particulier surveiller l’occupation des partitions /var/se3 et /home.
Les partitions correspondent à :
•
•
•
•
•
/ : la partition racine, où se situe le système linux
/dev/shm : correspond à un espace de mémoire partagée
/var : est la partition contenant les fichiers variables, en particulier les logs : /var/log
/var/se3 : est la partition des partages “classes” et “progs”
/home : est la partition où sont stockés les documents utilisateurs
18.2
Occupation des répertoires
Le choix peut être affiné en cliquant sur « occupation du disque »
Page 155/208
18.3
Samba Édu 3
Détermination des quotas
On fixe des quotas pour une partition entière. Pour Sambaedu, ce sont les partitions /home et
/var/se3.
Il faut autoriser un dépassement temporaire pour qu’un utilisateur ne se voie pas empêché d’enregistrer un document qui dépasserait le quota.
En cas de dépassement, un message lui est transmis via le navigateur web.
Le navigateur utilisé pour afficher les messages d’alerte est Internet Explorer, car Firefox ne peut
pas fonctionner en cas d’interdiction d’écriture sur la partition /home.
La fonction « quotas effectifs » permet de voir où en est chaque utilisateur d’un groupe.
Page 156/208
Samba Édu 3
En cliquant sur le nom d’un utilisateur dans le tableau récapitulatif des quotas, on peut avoir le
détail par type de fichiers. Cela permet de faire la chasse aux fichiers multimédias MP3 et autres...
Page 157/208
Chapitre 19
Gestion des imprimantes
Sommaire
19.1
19.2
19.3
19.4
Ajout d’une imprimante . . . . . . . . .
Les protocoles . . . . . . . . . . . . . . .
Ajout de l’imprimante à un parc . . . .
Téléchargement du pilote sur le serveur
. . . . . . . .
. . . . . . . .
. . . . . . . .
d’impression
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
159
159
160
161
CHAPITRE 19. GESTION DES IMPRIMANTES
Samba Édu 3
SambaÉdu3 propose un système centralisé des imprimantes : celles-ci sont déclarées sur le serveur
et c’est à lui que les clients envoient les documents à imprimer. L’avantage est double :
• Les clients n’ont accès qu’aux seules imprimantes de leur parc, cela évite les confusions
• Il devient possible d’automatiser l’installation des imprimantes
19.1
Ajout d’une imprimante
À partir du menu « Imprimantes » sélectionnez « Nouvelle imprimante ».
Donnez un nom clair à votre imprimante. L’URI correspond à l’adresse IP dans le cas d’une
imprimante réseau.
Pour le choix du pilote d’impression, il y a plusieurs possibilités :
• Pilote Windows du client : correspond à une installation manuelle.
• Pilote Windows du client déployable : correspond à l’installation normale
• Pilote du serveur CUPS : il n’est pas nécessaire de faire une installation des drivers sur chaque
station. On utilise un pilote générique, (générique/texte seulement) qui existe dans la base de
pilotes de windows 98 ou de XP. Mais généralement les pilotes Cups « ppd » sont de moins
bonne qualité que les pilotes Windows et l’utilisation de cette méthode risque de surcharger le
serveur SambaÉdu3.
19.2
Les protocoles
• TCP/IP : c’est le protocole le plus courant. Il convient aux imprimantes réseau et aux imprimantes munies d’un boîtier « serveur d’impression ». Mettre l’IP de l’imprimante dans le champ
URI
• Parallèle : Permet de placer une imprimante sur le port parallèle du serveur Se3. Dans ce cas,
il faut mettre la valeur lp0 dans le champ URI
• Usb : Permet de placer une imprimante Usb sur le serveur Se3. Il faut mettre la valeur lp0 dans
le champ URI
• IPP : C’est le futur protocole générique de dialogue avec les imprimantes à travers le réseau. A
terme, ce protocole remplacera tous les autres.
Page 159/208
Samba Édu 3
• HTTP : C’est le protocole Web classique. De nombreuses imprimantes récentes gèrent ce protocole.
• Samba : Permet d’utiliser une imprimante partagée par un poste Windows. On place l’adresse
IP du poste qui offre le partage dans le champ URI et le nom du partage dans le champ Nom.
• Lpr/Lpd : Permet d’utiliser une imprimante partagée par un boitier serveur d’imprimante ou
des serveurs GNU/Linux.
Type de pilotes : Pour une installation automatique des pilotes windows, le choix « pilotes Windows du client déployable » est obligatoire.
19.3
Ajout de l’imprimante à un parc
Choisir un ou plusieurs parcs à partir desquels l’imprimante sera accessible, valider puis choisir
l’imprimante à ajouter.
À partir du moment où une imprimante est associée à un parc, elle devient visible dans le voisinage réseau de la station et peut être installée de manière classique.
La suppression permet de retirer une ou plusieurs imprimantes d’un parc, sans les supprimer complètement du serveur. Cela permet de déplacer une imprimante d’une salle vers une autre. Ce menu
permet aussi de supprimer complètement une imprimante du réseau.
Page 160/208
19.4
Samba Édu 3
Téléchargement du pilote sur le serveur d’impression
Pour un déploiement automatique du pilote, celui-ci doit être copié sur le serveur. Cette copie ne
doit pas être effectuée par copier-coller mais en respectant la procédure suivante. Cette fonctionnalité est disponible à partir de SambaÉdu3 1.01.
À partir du voisinage réseau sous Windows 98 ou bien des favoris réseau sous XP, se connecter au
serveur de fichiers SambaÉdu3.
L’imprimante doit apparaitre sur le serveur. Il ne va pas s’agir pour le moment de l’installer à
proprement dit mais d’en modifier les propriétés afin de signaler au serveur que l’on veut charger
Page 161/208
Samba Édu 3
un nouveau pilote. Cliquez sur « Imprimante et télécopieur ».
Un clic droit sur l’imprimante qui apparaît puis « Propriétés ».
Un message devrait vous avertir que Windows ne trouve pas les pilotes et vous propose de l’installer,
répondre NON.
Une fois dans la nouvelle boîte de dialogue, cliquer sur l’onglet « Avancé » puis sur le bouton « Nouveau pilote ».
La suite se déroule comme une installation classique d’un pilote.
Le pilote peut être sélectionné à partir de la base Windows ou du Cdrom du constructeur.
Le pilote est alors copié automatiquement dans le partage « print$ » du serveur.
note : Un message d’erreur à cette étape de l’installation signifie sans doute que le
mode « pilote déployable » n’a pas été sélectionné lors de la création de l’imprimante
dans l’interface web.

Avec certains pilotes d’imprimantes, il est nécessaire que l’administrateur se
connecte au moins une fois sur un ordinateur du parc concerné. Cela permettra
de finaliser le déploiement de l’imprimante. Dans le cas contraire, un message
d’erreur apparaitra lors de l’installation de ce pilote pour les utilisateurs
Si il y a plusieurs imprimantes dans un même parc, il est possible de définir l’imprimante par
défaut.
À partir du menu « Imprimantes » sélectionnez « Imprimante par défaut ».
Sélectionner le parc concerné.
Page 162/208
Samba Édu 3
Puis l’imprimante par défaut dans ce parc.
Page 163/208
Chapitre 20
Gestion des clés de base de registre
Sommaire
20.1 Une base de données initiale . . . . . . . . . .
20.2 Des groupes de clés . . . . . . . . . . . . . . .
20.2.1 Les groupes prédéfinis . . . . . . . . . . . . .
20.2.2 Le groupe « aucune protection » . . . . . . .
20.2.3 Des templates . . . . . . . . . . . . . . . . . .
20.3 Le principe d’attribution . . . . . . . . . . . .
20.3.1 Fonctionnement du groupe spécial . . . . . .
20.4 Mise en place d’une configuration de base .
20.5 Ajout d’une configuration supplémentaire . .
20.6 Tester la configuration . . . . . . . . . . . . .
20.7 Gestion des groupes de clés . . . . . . . . . .
20.7.1 Ajouter un groupe de clés . . . . . . . . . . .
20.7.2 Modifier un groupe de clés . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . 165
. . . . . . . 165
. . . . . . . . 165
. . . . . . . . 166
. . . . . . . . 166
. . . . . . . 166
. . . . . . . . 167
. . . . . . . 167
. . . . . . . 169
. . . . . . . 170
. . . . . . . 171
. . . . . . . . 171
. . . . . . . . 171
CHAPITRE 20. GESTION DES CLÉS DE BASE DE REGISTRE
20.1
Samba Édu 3
Une base de données initiale
Une base d’environ 243 clés de registre est proposée sur le site de Caen. Il est possible d’importer
cette base depuis l’interface web d’administration du serveur SE3 et de la mettre à jour :
A partir du menu « Clients Windows », sélectionnez « Gestion des clés », cliquez sur « Effectuer la
mise à jour de la base de clés ».
On peut également ajouter à cette base, des clés personnelles ou modifier les valeurs de clés existantes.
Les clés sont de deux types :
• Clé de configuration qui n’a qu’une seule valeur (par exemple : url de la page de démarrage de
I.E.) et 2 états, active ou non configurée.
• Clé de restriction (par exemple : verrouiller la barre des tâches) qui a trois états :
Active (1 – rouge dans l’interface web d’administration)
Inactive (SUPPR – vert dans l’interface web d’administration).
Non configurée (la clé n’est pas appliquée).
Une clé donnée peut concerner TOUS les systèmes (OS : 9x, 2000, XP) ou seulement un ou
plusieurs d’entre eux.
20.2
Des groupes de clés
Lorsque l’on met en place une stratégie, elle comporte, en général plus d’une clé. Pour faciliter
la gestion de la stratégie souhaitée, il est commode de réunir dans un groupe de clés, un ensemble
de clés en puisant dans la base de données initiale. On pourra ainsi avoir plusieurs configurations
types à notre disposition. Des groupes de clés prédéfinis existent et peuvent être importés depuis le
serveur central de Caen de la même manière que précédemment :
A partir du menu « Clients Windows », sélectionnez « Gestion des clés », cliquez sur « Effectuer la
mise à jour des groupes de clés ». Vous pouvez, bien entendu, créer de nouveaux groupes de clés ou
modifier des groupes existants.
20.2.1
Les groupes prédéfinis
• norestrict (164 clés) permet de lever la restriction (désactiver ou mettre à SUPPR – vert) de
l’ensemble de toutes les clés de restriction contenues dans la base de donnée des clés.
• Optimisation et sécurité (33 clés) permet d’établir une configuration par défaut sur les
postes par un ensemble de règles, pas nécessairement restrictives, qu’il peut être souhaitable
d’appliquer à tous les postes, indépendamment de l’utilisateur qui se connecte.
• Restrictions légères (30 clés) permet de sécuriser un peu les postes sans trop brider leur
usage.
• Restrictions moyennes (74 clés) permet de mettre en place une sécurisation acceptable des
postes vis-à-vis des élèves.
Page 165/208
Samba Édu 3
• SambaEdu3 config 9x (8 clés) configuration qu’il est nécessaire d’appliquer aux postes Windows 9x clients d’un domaine SambaEdu. De plus, l’application de ce groupe de clés dispense
de la fusion des fichiers UserShellFolders.reg et NetConfLight.reg (voir la documentation officielle SambaEdu3 : Installation d’un poste client Windows 98 / Configuration spécifique à
SambaEdu3).
• Proxy (4 clés) configuration du proxy (dans le cas d’un SLIS)
20.2.2
Le groupe « aucune protection »
En plus des groupes prédéfinis, il existe un groupe ayant un fonctionnement particulier : Aucune
protection (voir ci-après).
Il n’apparait pas dans l’interface Web « Gestion des clés » « Editer les groupes de clés ? ». On le
trouve dans Attribution des clés - Choix des templates - Choix du niveau de sécurité. Il n’est utile
que pour les comptes administrateur et permet de lever toutes les restrictions.
20.2.3
Des templates
Une fois définis les clés et les groupes de clés, il faut les attribuer aux utilisateurs ou aux machines.
Dans SambaEdu3, le vecteur naturel de distribution de configuration est le template.
Le menu « Attribution des clés » permet d’attribuer des configurations particulières aux utilisateurs,
ainsi, tous les utilisateurs du groupe bénéficieront des clés attribuées à celui-ci.
20.3
Le principe d’attribution
Le mode de distribution des clés par les templates possède un gros inconvénient : l’ordre de concaténation des templates n’est pas totalement maîtrisé.
Entre les diverses catégories, l’ordre d’application est :
1.
2.
3.
4.
5.
6.
7.
8.
9.
base
groupes d’utilisateurs
parcs de machines
machine
utilisateur
utilisateur@@machine
utilisateur@@Parcs
groupes@@machine
groupes@@parcs
Pour chaque clé, seule la dernière valeur lue dans la liste précédente est appliquée.
Exemples :
Si une clé de restriction est active sur le template « base », inactive sur le template « profs » et non
configurée sur le template « eleves », alors :
• l’élève se verra appliqué la restriction appliquée à base (puisque celle-ci n’est pas levée ensuite).
Page 166/208
Samba Édu 3
• le professeur ne subira pas la restriction puisque celle-ci est inactive sur le template « profs ».
Si la clé de configuration « page de démarrage d’internet explorer » a la valeur http ://google.fr sur
le template « eleves », http ://blogdubahut.org sur le template « atelier-info@@salle1 », alors :
• l’élève membre du groupe « Atelier-info », qui se connecte en « salle1 » aura comme page de
démarrage d’IE : http ://blogdubahut.org
• l’élève membre du groupe « Atelier-info », qui se connecte dans un autre parc que « salle1 »
aura comme page de démarrage d’IE : http ://google.fr
• l’élève qui n’est pas membre du groupe « Atelier-info », qui se connecte en « salle1 » aura
comme page de démarrage d’IE : http ://google.fr
Mais, on ne maîtrise pas dans chaque catégorie l’ordre d’application. Par exemple, si un utilisateur
appartient au groupe Elèves, Classe_2nd, Cours_2nd_maths, Cours_2nd_Francais, et si, il existe
2 templates cours_2nd_maths, cours_2nd_francais, il n’y a pas moyen de savoir à l’avance lequel
de ces deux templates sera évalué en premier. Par conséquent, si une restriction est appliquée dans
l’un de ces template et levée dans l’autre, au final, le résultat sera aléatoire pour un utilisateur qui
dépendrait de ces deux templates !
Une telle indétermination dans le résultat d’application de clés de registre n’est bien sûr pas acceptable. C’est pourquoi il est nécessaire de s’ imposer un certain nombre de règles visant à imposer une
stratégie rigoureuse d’application des règles de restriction. Ces règles, découlent du principe de base
suivant :

Dans le cas de clés de restrictions, il est judicieux d’activer des restrictions sur
le template « base » et de les rendre inactives sur d’autres templates.
En procédant ainsi, on est sûr que l’utilisateur aura en toutes circonstances les configurations de
registre auxquelles on peut s’attendre puisque les restrictions sont appliquées, puis ensuite levées en
fonction des privilèges attribués à chacun des templates qui le concernent. Peu importe l’ordre dans
lequel les restrictions se lèvent, l’utilisateur bénéficiera du cumul des privilèges.
20.3.1
Fonctionnement du groupe spécial
Aucune protection permet d’appliquer à un template toutes les levées de restrictions.
20.4
Mise en place d’une configuration de base
Dans l’exemple qui suit, nous désirons mettre en place pour tous un niveau de restriction sur les
postes assez fort de manière à sécuriser par défaut l’environnement windows. Pour les profs cependant, nous allons définir une politique de restriction plus légère leur permettant plus de souplesse au
niveau de l’environnement de travail. Enfin, l’utilisateur admin verra toutes les restrictions levées.
A partir du menu « Client Windows »
Cliquez sur « Attribution des clés »
Page 167/208
Samba Édu 3
l’interface vous propose alors la liste des templates SambaEdu3 déjà définis.
•
•
•
•
•
base s’applique a tout le monde
profs s’applique aux Professeurs
eleves s’applique aux élèves
admin s’applique à l’utilisateur générique admin
overfill s’applique aux utilisateurs ayant dépassé leur quota sur le disque.
Plus les templates créés par l’administrateur.
Sélectionnez base, puis choisir le niveau de sécurité « Restrictions Moyennes ». Ainsi, par défaut,
tous les utilisateurs auront ce niveau de restriction.
Sélectionnez profs, puis choisir le niveau de sécurité « Restrictions légères ». Les professeurs, auront
alors un niveau moins restrictif que base.
Sélectionnez admin puis choisir le niveau de sécurité « Aucune protection » Admin n’a alors plus
aucune des restriction de base.
Et les élèves ? Il est inutile de préciser quoi que ce soit, car ils héritent des restrictions données
à base.
Page 168/208
20.5
Samba Édu 3
Ajout d’une configuration supplémentaire
Parmi les groupes de clés définis par défaut, le groupe « Optimisation et sécurité » définit un
ensemble de règles, pas nécessairement restrictives, qu’il peut être souhaitable d’appliquer sur tous
les postes, indépendamment de l’identité de celui qui se connecte. Le groupe « SambaEdu3 config
9x » contient quant à lui la configuration qu’il est nécessaire d’appliquer aux postes windows 9x
dans un réseau SambaEdu.
Nous allons donc ajouter ces clés à la configuration que nous venons de mettre en place. Pour
cela, sélectionnez le template base dans le menu « attribution des clés ».
Cliquez sur le bouton « Incorporer des groupes de clés ».
Sélectionnez les groupes de clés
Reproduire cette démarche en sélectionnant les templates :
profs
eleves
admin
et en incorporant le groupe « Optimisation et sécurité »
Remarque : Il est important de bien distinguer les actions de « choisir un niveau de sécurité » et
« d’incorporer un groupe de clés ».
En choisissant un niveau de sécurité, vous initialisez la configuration du template avec les clés définies
Page 169/208
Samba Édu 3
dans le niveau choisi. Toute configuration antérieure est effacée.
En incorporant un groupe de clé, au contraire, les configurations antérieures sont conservées et les
clés définies dans le ou les groupes à incorporer sont ajoutées.
L’avantage d’avoir distingué les « templates » pour le groupe de clés « Optimisation et sécurité »
est : La possibilité de modifier pour chaque « template » la configuration, par exemple, du papier
peint et de la page d’accueil d’Internet explorer qui peuvent alors être différents pour les professeurs
et pour les élèves. Si vous ne souhaitez pas introduire de valeurs différentes, il est possible d’incorporer le groupe simplement à base.
20.6
Tester la configuration
La configuration définitive appliquée à un utilisateur sur son poste dépend des fragments de configurations appliqués à tous les templates (utilisateur, groupes, machine, parcs, doubles templates)
associés à l’utilisateur lorsqu’il se connecte sur sa machine. Lors de configurations complexes, il est
parfois difficile de savoir qui héritera de quoi. C’est le rôle de la fonction « Test des restrictions » qui,
à partir d’un nom d’utilisateur et de machine (facultatif), va réaliser un calcul des clés de registres
qui seront effectivement applicables sur le poste.
Page 170/208
20.7
Gestion des groupes de clés
20.7.1
Ajouter un groupe de clés
Samba Édu 3
Le menu « gestion des clés » permet d’incorporer un nouveau groupe de clés à partir d’un fichier
XML.
Exemple : Création d’un groupe de clés pour le bureau de l’admin sur un ordinateur du parc1.
Vérifiez que le template admin@@parc1 existe.
Voici un exemple de fichier XML :
<?xml version="1.0" encoding="ISO-8859-1"?>
<se3mod>
<nom>Groupe de cles</nom>
<version>V 0.1</version>
<categories>
<categorie nom="mon groupe de clefs">
<regle>
<clef>HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system\NoSizeCh
<value>1</value>
</regle>
</categorie>
</categories>
</se3mod>
A partir du menu « Gestion des clés », cliquez sur le bouton « parcourir », indiquer le fichier XML
puis cliquer sur le bouton « Incorporer »
Ce groupe de clés est ainsi disponible et peu donc être incorporé à un template.
20.7.2
Modifier un groupe de clés
Le menu « gestion des clés » « Editer les groupes de clés » permet de modifier la configuration
d’un groupe de clés.
Choisir le groupe de clés à modifier
Sélectionner la catégorie pour l’affichage des clés ou « tout » pour afficher toutes les clés.
Page 171/208
Samba Édu 3
Cliquer dans la colonne « Editer » sur l’icône de la clé à modifier.
Indiquer l’état de la clé.

Si toutes les clés d’un groupe sont « non configurées », le groupe sera supprimé
Page 172/208
Chapitre 21
L’Inventaire
Sommaire
21.1 OCS Inventory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
21.2 Recherche multicritère . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
21.3 La maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
CHAPITRE 21. L’INVENTAIRE
21.1
Samba Édu 3
OCS Inventory
L’inventaire est basé sur l’application OCSInventory NG (Open Computer and Software Inventory
Next Generation ) : http ://www.ocsinventory-ng.org/
Cet inventaire permet de connaître, la configuration matérielle des postes, ainsi que la liste des
logiciels installés.
Dans un premier temps, il faut l’activer en sélectionnant « Configuration générale » puis « Modules »
Vérifier que le bouton est vert pour « Système d’inventaire (se3-ocs) »
Suite à l’installation d’OCS Inventory, un paquet se3-ocs-clientwin a été installé sur le serveur.
Le module inventaire doit avoir ajouté une ligne dans le fichier logon.bat du template “base” :
call \\se3\Progs\ro\inventory\deploy\ocs.bat

Attention, en version lenny, cette ligne est commentée par “ : :”, il vous faudra
enlever ces deux caractères pour activer l’inventaire.
L’installation sera effective quel que soit le type de compte, en particulier, il n’est pas nécessaire
que ce soit un administrateur qui se connecte sur la machine.
Suite à l’installation, seul le serveur SambaÉdu3 apparaît dans la liste des ordinateurs.
Les clients seront intégrés dans les 24 heures.
Il est possible, pour faire des tests, de forcer la remontée de l’inventaire d’un client, afin de vérifier
le bon fonctionnement du service sans attendre 24 heures. Il est aussi possible d’attendre et de faire
preuve de patience ;-)...
Sur le client Windows, allez faire clic-droit sur le poste de travail, choisir Gérer et ensuite aller
dans le menu « services ». Depuis l’outil de gestion des services, cherchez et arrêter le service « OCS
Page 174/208
Samba Édu 3
INVENTORY SERVICE ».
Ouvrez alors, après avoir arrêté le service, le fichier service.ini dans « c :\Program Files\OCS
Inventory Agent »
Modifier TTO_WAIT=2
Redémarrer le service, la remontez des informations devrait alors être immédiate.
OCS Inventory permet un affichage de toutes les machines, ou par étiquette (tag) ou par recherche
multicritères.
La sélection d’une machine permet d’afficher des informations précises, telles que :
21.2
Recherche multicritère
Celle-ci est basée sur un ensemble de paramètres et de règles à définir.
Exemple : Afficher l’ensemble des ordinateurs dont la mémoire est supérieure à 250 Mo et la
vitesse du processeur supérieure à 1500 MHz
Page 175/208
Samba Édu 3
Il est intéressant de noter la recherche sur les logiciels installés
21.3
La maintenance
A ce module d’inventaire a été ajouté un module de maintenance permettant de déclarer des
problèmes et de formuler des demandes interventions à effectuer sur les machines. NB : pour que
les professeurs puissent avoir accès à cet outil dans leur interface, il faut donner le droit « maintenance_can_write » au groupe » Profs ».
Pour formuler une demande, sélectionnez une machine dans la liste proposée, ou effectuez une
recherche.
Cliquez sur le bouton de « Demande de maintenance ».
Indiquez le type de maintenance en complétant le formulaire.
La consultation des maintenances permet en cliquant sur le lien « Détail » de répondre à la demande.
Page 176/208
Samba Édu 3
La réponse permet de préciser l’état de la machine.
Page 177/208
Chapitre 22
Sauvegarde et Restauration des données
Sommaire
22.1
22.2
22.3
22.4
22.5
Le menu sauvegarde . . . . . . . . . . . . . . . . . .
Mise en place de la sauvegarde sur disque USB .
Mise en place de la sauvegarde sur NAS . . . . .
Restauration d’un fichier ou d’un dossier . . . . .
Restauration de l’ensemble de la partition /home
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
(ou /var/se3)
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
179
179
182
184
184
CHAPITRE 22. SAUVEGARDE ET RESTAURATION DES DONNÉES
22.1
Samba Édu 3
Le menu sauvegarde
Se3 intègre une interface pour faire fonctionner un logiciel libre de sauvegarde, backuppc, permettant ainsi une sauvegarde régulière et automatique des données des utilisateurs ainsi que des
paramètres principaux de configuration du serveur. La sauvegarde peut s’effectuer sur un disque
USB connecté au serveur, ou sur un NAS.
Préalables :
1. S’assurer que le module se3-backup est bien installé. Pour ce faire, il suffit dans une console
d’entrer la commande suivante :
aptitude install se3-backup
ou de faire l’installation par le biais de l’interface de gestion des modules.
2. Disposer soit d’un disque USB formaté en ext3, soit d’un NAS sur lequel aura été créé un
partage NFS.
22.2
Mise en place de la sauvegarde sur disque USB
1. Brancher le disque USB.
2. Se connecter sur l’interface web du serveur, et ouvrir la rubrique sauvegarde.
Cliquer sur « Configuration », puis sur la coche « Configuration par défaut ». La configuration par défaut convient dans la plupart des cas. Vous pouvez cependant adapter les heures
auxquelles la sauvegarde peut-être lancée (22h30 par défaut, noté 22.5 en décimal) et la période
pendant laquelle il ne peut y avoir de sauvegarde (à éviter pendant les heures ouvrables).
Si le serveur dispose d’une entrée dans le DNS, les champs de la rubrique « Plage d’adresse de
recherche des machines » peut être ignorée.
Une fois la configuration définie, cliquer sur « Valider ».
3. Dans « Support de sauvegarde » → « Etat de la connexion au disque USB », choisir dans la liste
déroulante le disque USB qui a été précedement connecté au serveur, puis cliquer sur l’icône
rouge. Le disque est alors monté dans le dossier /var/lib/backuppc, et sa capacité de stockage
doit apparaître dans l’interface.
4. Dans une console, entrer en tant que root les commandes suivantes, afin de positionner des
droits corrects sur le répertoire de sauvegarde :
chown -R backuppc:backuppc /var/lib/backuppc
chmod -R 750 /var/lib/backuppc
Page 179/208
Samba Édu 3
5. Dans l’interface web du serveur, sur la ligne « Etat du serveur de sauvegarde », cliquer sur la
coche rouge afin de démarrer le serveur de sauvegarde. La coche passe normalement au vert. Le
serveur est maintenant opérationnel. Vous devez obtenir quelque chose ressemblant à la figure
suivante.
6. Il s’agit maintenant d’ajouter une machine à sauvegarder. Pour ce faire, dans l’interface :
Sauvegarde → Machines → Ajouter une nouvelle sauvegarde, cliquer sur ajouter, et remplissez
les champs comme suit :
type de machine : se3
nom de la machine : localhost
nom DNS : trouvable par son nom (IP fixe)
type de sauvegarde : rsyncd
compte de connexion : toto (à adapter comme vous le voulez. Le compte toto peut ne pas
exister, ni dans les comptes locaux ni dans l’annuaire)
• mot de passe de connexion : passtoto (même remarque)
• modules à sauvegarder : laisser par défaut « varse3 ;home ;etc »
• Souhaitez vous utiliser la configuration par défaut : case Oui, puis cliquez sur « suite ».
7. Configurer le démon rsyncd
Le programme rsync a normalement du être installé au cours de la phase de mise en place de
SambaÉdu3. Pour vous en assurer entrer la commande :
apt-get install rsync ; validez si besoin.
Créer le fichier /etc/rsyncd.conf par la commande :
touch /etc/rsyncd.conf
Editez le par la commande :
nano /etc/rsyncd.conf
Entrez les lignes suivantes :
•
•
•
•
•
uid=root
gid=root
use chroot=no
syslog facility=local5
auth users=toto
secrets file=/etc/rsyncd.secret
Page 180/208
Samba Édu 3
hosts allow=172.20.0.2 127.0.0.1
read only=yes
[varse3]
comment = dossier /var/se3
path = /var/se3
[home]
comment = dossier home
path = /home
[etc]
comment = dossier /etc
path = /etc
NB : Il faudra changer le yes en no à read only, quand vous souhaiterez restaurer (le yes assure
une sécurité en bloquant la restauration).
Une fois le fichier correctement édité, validez par CTRL+O, validez par la touche « Entrée »
et sortez de l’éditeur par la commande CTRL+X.
Créer et éditer de la même façon le fichier /etc/rsyncd.secret et y écrire la ligne :
toto:passtoto
Réduire les droit sur ce fichier par la commande :
chmod 400 /etc/rsyncd.secret
On va maintenant lancer rsyncd :
• Modifier la ligne
RSYNC_ENABLE=true
dans le fichier /etc/default/rsync avec un éditeur de texte
• Lancer alors rsyncd en faisant un /etc/init.d/rsync start.
• rsync doit maintenant être à l’écoute, pour vérifier, taper :
netstat -na | grep 873
8. Tester la sauvegarde
• Dans l’interface Sauvegardes -> Machines , cliquer sur l’icône mise en évidence dans la
figure.
• Cliquer sur le bouton « Démarrer la sauvegarde complète », puis confirmer dans l’écran
suivant. La sauvegarde doit démarrer.
• Vérifier que dans le répertoire « /var/lib/backuppc/pc/localhost » un dossier « new » a
bien été créé, et qu’il se remplit progressivement des éléments à sauvegarder.
Page 181/208
22.3
Samba Édu 3
Mise en place de la sauvegarde sur NAS
L’exemple ci-dessous est détaillé à partir d’un partage NFS réalisé sur un NAS de marque Synology
disposant d’un espace de stockage de 2 To (nommé volume1) correspondant à deux disques de 2To
montés en RAID1.
Sur ce volume est créé un partage nommé « sauve » qui sera monté en NFS sur le serveur
SambaÉdu3.
Les privilèges NFS sont configurés ici de telle façon que l’ensembles des machines du réseau
puissent accéder au partage, dont le chemin d’accès est /volume1/sauve.
Bien sûr, le service réseau NFS doit être activé sur le NAS.
Page 182/208
Samba Édu 3
On peut tester le montage dans une console par la commande :
mount -t nfs 172.20.0.19:/volume1/sauve /var/lib/backuppc
Si le montage fonctionne, on peut passer à la configuration par l’interface Sauvegarde du serveur
Se3, qui doit ressembler à ce que l’on voit sur la figure ci-dessous.
En cliquant sur le bouton de montage du NAS, on doit obtenir ce que l’on voit figure suivante.
À partir de là, on peut reprendre ci-dessus au point n˚6.
Page 183/208
22.4
Samba Édu 3
Restauration d’un fichier ou d’un dossier
Dans l’interface, Sauvegarde -> Machines, cliquer sur la deuxième icône, qui permet de voir l’état
des sauvegardes de la machine.
Cliquer sur le numéro de la sauvegarde à utiliser. Naviguer dans l’arborescence et sélectionner les
fichiers ou dossier à restaurer, puis cliquer sur le bouton « Restaurer les fichiers sélectionnées ».
Dans l’écran suivant, choisir de préférence « Télécharger le fichier tar » qui permettra de récupérer
une archive de l’ensemble des fichiers à restaurer. Les enregistrer dasn un endroit quelconque et les
recopier ensuite au bon endroit sur le serveur. Remettre les droits corrects si besoin.
22.5
Restauration de l’ensemble de la partition /home (ou
/var/se3)
Cette procédure est à utiliser pour réinstaller l’ensemble des données sur un serveur en cas de
réinstallation.
Sur le serveur, passer en utilisateur backuppc par la commande :
su backuppc
puis entrer la commande suivante :
/usr/share/backuppc/bin/BackupPC_tarCreate -h localhost \
-n xxx -s home -t / > /var/lib/backuppc/home.tar
pour laquelle :
• n xxx correspond au numéro de la sauvegarde. ce qui correspond dans l’arborescence à /var/lib/backupp
• s home au répertoire que je veux restaurer
• t / pour avoir la racine
Revenir en root par CTRL+D
Entrer les commandes suivantes :
• chown root /var/lib/backuppc/home.tar
• mv /var/lib/backuppc/home.tar /home
• cd /home
Page 184/208
Samba Édu 3
• tar xvf home.tar
Remettre enfin les droits corrects par le script ad hoc
/usr/share/se3/sbin/restore_droits.sh
Page 185/208
Chapitre 23
Déploiement automatisé d’applications
Sommaire
23.1
23.2
23.3
23.4
Installation du service WPKG sur les clients
L’interface web de WPKG . . . . . . . . . . .
Détail et suivi des déploiements . . . . . . . .
Contrôle du déploiement . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
187
187
189
190
CHAPITRE 23. DÉPLOIEMENT AUTOMATISÉ D’APPLICATIONS
Samba Édu 3
Le paquet se3-wpkg permet de déployer automatiquement des applications sur les postes Windows XP inscrits dans les parcs de machines. Il suffira à l’administrateur de choisir les programmes
qu’il veut installer, puis les postes sur lesquels il veut les installer : le déploiement des programmes
est ensuite automatique et parfaitement silencieux pour les utilisateurs. Le module de déploiement
d’applications du serveur SambaÉdu3 est basé sur WPKG : wpkg.org
Avant tout, vérifier la présence du module sur le serveur, en sélectionnant « Configuration générale »
puis « Module ».
Vérifier que le bouton est vert pour « WPKG ».
23.1
Installation du service WPKG sur les clients
Suite à l’installation du module sur le serveur, le client WPKG sera déployé automatiquement sur
les postes XP.
Un raccourci créé sur le bureau de l’admin permet de lancer le déploiement sur le poste manuellement.
Celui-ci étant programmé à chaque démarrage des postes.
23.2
L’interface web de WPKG
L’interface permet de gérer l’installation d’applications sur le SambaÉdu3 par téléchargement
et de programmer leur déploiement sur les clients XP.
Le déploiement d’applications ne peut fonctionner sans la présence d’au moins un parc.
Page 187/208
Samba Édu 3
Le menu « Ajouter une application » permet de télécharger automatiquement l’application ainsi
qu’un fichier xml qui assurera son installation automatique.
Deux dépots de logiciels co-existent, une branche STABLES et une branche « A TESTER ».
Une Application est d’abord proposée dans la branche A TESTER et lorsqu’elle a été suffisamment
testée elle est considérée comme STABLE.
Cliquer sur le bouton « Afficher les applications disponibles » afin de voir les applications proposées.
En ORANGE (avec la case d’installation pré-cochée) apparaissent les applications déjà installées
pour lesquelles une mise à jour est disponible.
En BLEU sont proposées les applications déjà installées et pour lesquelles aucune mise à jour n’est
disponible.
En BLANC sont proposées des applications qui ne sont pas installées sur le SambaÉdu3.
Il suffit de cocher la case d’une application et de cliquer sur le bouton « Installer les applications
sélectionnées » pour l’installer sur le SambaÉdu3.
Dans un premier temps, le serveur télécharge le fichier de description xml de l’application, puis
télécharge les fichiers permettant l’installation de l’application sur les clients.
Une fois terminé le téléchargement, cliquer sur le bouton « Retourner à la page Déploiement d’applications. » Cette page (accessible aussi en cliquant sur le lien « Déployer sur les parcs ») permet
de sélectionner les applications qui sont disponibles sur votre serveur pour les installer sur les postes
des différents parcs du domaine.
Dans l’exemple suivant, audacity est installé sur les ordinateurs du parc2, time (mise à l’heure par
rapport au SambaÉdu3) et vlc sont installés sur tous les ordinateurs.
Page 188/208
Samba Édu 3
Pour déployer une application sur les postes d’un parc, il suffit de cocher la case correspondante :
aucune autre action n’est nécessaire, en particulier, il n’y a pas de bouton pour valider son choix
(pour revenir en arrière il suffit de décocher la case).
L’installation du programme se déroulera lors du prochain allumage des ordinateurs concernés ou
par le lancement manuel de WPKG sur un poste client (un raccourci existe uniquement sur le bureau
du compte admin).
23.3
Détail et suivi des déploiements
Détail des couleurs :
• Bleu : installation de l’appli demandée et l’appli est installée sur le poste.
• Gris-clair : l’installation n’est pas demandée et l’appli n’est pas installée.
• Orange : l’état des l’applis sur le poste ne correspond pas à ce qui a été demandé (le client wpkg
installera ou désinstallera l’appli à la prochaine exécution pour que son état coïncide avec ce
qui est demandé).
• Orange clair : Une appli n’est pas à jour.
Page 189/208
Samba Édu 3
Détail d’un parc :
Ce menu permet d’afficher pour un parc choisi, le nombre d’applications installées sur les postes par
rapport au nombre d’applications à installer.
Détail d’une application :
Ce menu permet d’afficher pour une application donnée, les informations sur la version installée et
sur le fichier xml associé, et de lister pour un parc sélectionné l’état de l’installation poste par poste.
Détail d’un poste :
Ce menu permet d’afficher pour un poste choisi, le nombre d’applications installées ainsi que la
dernière installation.
Il est possible de naviguer à travers ces trois menus en cliquant sur les différents liens actifs dans
les tableaux d’affichage.
En cliquant sur les en-têtes des colonnes des tableaux, on sélectionne l’ordre d’affichage.
23.4
Contrôle du déploiement
Les actions effectuées par wpkg sur un poste client sont enregistrées dans deux fichiers situés
dans : \\se3\install\wpkg\rapports
Page 190/208
Samba Édu 3
C’est la date du fichier .log qui est indiquée dans l’interface web.
• Le fichier nom_du_poste.log contient les informations obtenues lors de l’exécution de wpkg.
• Le fichier nom_du_poste.txt contient des informations sur l’état de chacune des applications
disponibles via wpkg sur le poste.
Un truc pour savoir quand le client a fini :
Cliquer sur la date d’un rapport d’un poste puis rafraîchir l’affichage (Touche F5) jusqu’à ce que le
fichier de log affiché soit mis à jour. Lorsque c’est le cas, le client wpkg a fini son exécution.
Dans le cas où une application ne s’installe pas :
Exécuter "Applications Wpkg" à partir du bureau du compte admin.
Cela permet d’avoir une fenêtre de commande à l’écran dans laquelle s’affiche tous les messages au
cours de l’installation.
Page 191/208
Samba Édu 3
Une des causes les plus fréquentes de panne de wpkg est la suivante : lors de l’exécution de wpkg
sur un poste la valeur true est inscrite dans la clef « HKLM\Software\WPKG\running » de la base
de registre du poste. A la fin de l’exécution cette valeur est repositionnée à false pour permettre
une nouvelle exécution. Il peut arriver que le poste soit arrêté brutalement lors de l’exécution de
wpkg (coupure de courant, etc...) ce qui laissera la valeur true positionnée et empêchera donc une
exécution ultérieure de wpkg.
Ce problème ne devrait plus se produire, suite à la modification du script.

Pour étudier un problème de fonctionnement avec WPKG, reportez-vous
avant toute chose à la “FAG Wpkg” du site officiel SambaÉdu3 :
http ://wwdeb.crdp.ac-caen.fr/mediase3/index.php/FaqWpkg
Page 192/208
Chapitre 24
Déploiement de Trend Micro OfficeScan
10.5
Sommaire
24.1
24.2
24.3
24.4
Avant de déployer . . . . . . . . . . . . . . . . . .
Ouverture de session sur le domaine SambaEdu
Préparation du « paquet » à déployer . . . . . .
Déploiement par WPKG . . . . . . . . . . . . . .
. . . . . . .
impossible
. . . . . . .
. . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
194
195
196
197
CHAPITRE 24. DÉPLOIEMENT DE TREND MICRO OFFICESCAN 10.5
Samba Édu 3
Cette documentation présente une méthode permettant le déploiement de l’antivirus du marché
national : Trend Micro OfficeScan.
On considère que l’antivirus a été installé sur un serveur Windows ou un client XP (qui assurera le
rôle de serveur antivirus) en suivant les explications fournies sur cette page : http ://www.tice.acversailles.fr/Anti-virus.
Il est conseillé lors de l’installation sur une machine XP de choisir le serveur Apache comme
serveur Web.
Afin d’administrer correctement les clients, le serveur antivirus doit être intégré au domaine
SambaÉdu3. Pour le client XP, cela se fera avec la méthode habituelle.
Si le serveur antivirus est un serveur Windows, il faudra simplement l’intégrer au domaine en
passant par les propriétés du poste de travail et en sélectionnant un domaine (le domaine SambaÉdu3) à la place du groupe de travail dans l’onglet « Nom de l’ordinateur », bouton « Modifier ».
L’ouverture de session pourra se faire localement.
24.1
Avant de déployer
Il est nécessaire de faire un test sur un client du réseau (des problèmes de blocage d’ouverture de
session ayant été rencontrés). Ce test peut simplement se faire en déployant l’antivirus sur un seul
client à partir de la console Web d’administration du serveur antivirus.
Sélectionner « Ordinateurs en réseau » > « Installation du client » > « Distant ».
Sélectionner le domaine puis l’ordinateur sur lequel installer l’antivirus.
Cliquer sur le bouton « Ajouter »
Indiquer le login et le mot de passe d’un compte administrateur local (le compte admise3 ne
permet pas cette installation...)
• Cliquer sur le bouton « Installer »
•
•
•
•
Si l’installation échoue, vérifier la désactivation du partage simple sur le poste (le partage C$ doit
être accessible) et la désactivation du firewall.
Page 194/208
Samba Édu 3
Malgré ces vérifications, si l’installation à partir de la page Web d’administration échoue, il est
possible de procéder à une installation manuelle. Pour cela :
- Aller sur le partage : \\nom_du_serveur_antivirus\ofcscan\
- Exécuter « AutoPcc.exe ».
Cette procédure installera en mode silencieux l’antivirus.
Suite à cette installation, vérifier l’ouverture de session sur le domaine SambaÉdu3 (quel que
soit le compte utilisé, administrateur ou utilisateur). Si le bureau n’apparait pas entièrement et que
l’ordinateur semble figé, l’antivirus bloque le transfert de données entre le client et le serveur.
24.2
Ouverture de session sur le domaine SambaEdu impossible
Merci à Marc Dagon pour la solution.
Pour remédier à ce problème, il faut modifier la configuration du client antivirus. Cela s’effectue
à partir de la console Web d’administration de l’antivirus.
• Sélectionner « Ordinateurs en réseau » > « Gestion des clients »
• Sélectionner le menu « Paramètres »
• Cliquer sur « Paramètres de contrôle des dispositifs »
Page 195/208
Samba Édu 3
• Décocher « Activer le contrôle des dispositifs »
• Cliquer sur le bouton « Appliquer à tous les clients »
Comme indiqué dans la documentation : « OfficeScan possède une fonction de contrôle des dispositifs qui régule l’accès aux périphériques de stockage externes et ressources réseau connectés aux
ordinateurs. »
Cela n’affecte pas la détection des virus sur les partages, mais simplement le contrôle de l’accès à
ces partages.
Redémarrer le client qui était bloqué en ouvrant une session locale (avec le compte administrateur
local par exemple) Cela aura pour effet de mettre à jour la configuration de l’antivirus sur ce poste
et donc de prendre en compte le nouveau paramètre.
Tester de nouveau avec une ouverture de session sur le domaine. Si cela fonctionne, ce qui devrait
être le cas ;-) le déploiement automatisé peut être mis en oeuvre.
24.3
Préparation du « paquet » à déployer
La méthode consiste à déployer par WPKG un paquet MSI.
Le paquet MSI peut être créé avec les outils disponibles sur le serveur antivirus.
• Exécuter l’outil de création du paquet MSI (Modifier le chemin en fonction de l’installation) :
C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin\Utility\ClientPackager\ClnPack.exe
Page 196/208
Samba Édu 3
• Sélectionner « Type de compression » : MSI
• Indiquer le nom et le dossier de sauvegarde du paquet. Le nom sera « setuptrend.msi » afin
d’être conforme au script de déploiement WPKG.
• Cliquer sur le bouton « Créer »
Le paquet MSI est prêt à être transféré sur le serveur SambaÉdu3 pour le déploiement.
24.4
Déploiement par WPKG
Copier le paquet MSI dans un dossier trend sur le serveur WPKG.
Le chemin réseau est : \\nom_du_serveur_Samba\install\packages\ou Y :\unattended\install\packages\
• Ouvrir la page Web d’administration du serveur SambaÉdu3
• Afficher le menu « Applications Windows » et cliquer sur « Ajouter une application ».
• En bas de la page de configuration, indiquer le chemin vers le fichier « trend.xml » préalablement téléchargé et modifié comme indiqué dans le commentaire.
http ://www.samba-edu.ac-versailles.fr/IMG/xml/trend.xml
Pour rappel, il faut modifier le mot de passe, juste après “uninstall_password=“, ici aze123.
Vous avez normalement choisi ce mot de passe pour désinstaller Trend, au moment de l’installation du serveur, celui-ci est donc propre à votre installation et n’a a priori pas de lien avec les
mots de passe du serveur SambaÉdu3
Page 197/208
Samba Édu 3
<remove cmd=’MsiExec.exe /qn /x{ECEA7878-2100-4525-915D-B09174E36971}
uninstall\_password=aze123’ />
Il faut pour cela ouvrir le fichier XML avec un éditeur de texte tel que Notepad++ ou Context.
Cocher les cases « Ne pas télécharger les fichiers... » et « Ignorer le contrôle MD5 ».
• Cliquer sur le bouton « Ajouter cette application »
Dans le menu « Applications Windows »
• cliquer sur < Déployer sur les parcs >.
• Sélectionner les parcs devant recevoir OfficeScan.
Le fait de décocher une case désinstallera l’antivirus sur les ordinateurs du parc, à condition
d’avoir modifié le fichier XML avant son importation dans SambaÉdu3 en y inscrivant le mot de
passe nécessaire à sa désinstallation.
Page 198/208
Chapitre 25
Le module TFTP
Sommaire
25.1 Préalables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
25.2 Installer une station en mode « unattended ». . . . . . . . . . . . . . . . 201
25.2.1 Préparation du serveur par la mise en place des sources d’installation. . . . 201
25.2.2 Installation devant le poste . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
25.2.3 Installation à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
25.3 Clonage de stations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
25.3.1 Préalable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
25.3.2 Cloner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
25.4 Sauvegarde et restauration des stations . . . . . . . . . . . . . . . . . . 204
CHAPITRE 25. LE MODULE TFTP
Samba Édu 3
Ce module permet d’installer des stations windows XP (25.2) sans intervention au clavier (installations dites « unattended (25.2) »), de cloner (25.3) des machines semblables, de sauvegarder (25.4)
l’image d’une partition Windows dans une partition cachée du disque dur et de réinstaller cette
image. Ces interventions peuvent s’effectuer à distance.
25.1
Préalables
1. Côté stations
• Configuration réseau : les machines doivent toujours avoir la même IP c’est à dire soit
être configurées avec des IP fixes, soit - et c’est le meilleur choix - être clients DHCP avec
adresse réservée sur le serveur SE3. Elles doivent par ailleurs appartenir à un parc si l’on
veut procéder à une installation automatique à distance entièrement silencieuse. Mais il est
également possible d’utiliser le module pour installer windows sur des machines neuves ;
pour ce faire il faudra procéder à une installation « devant le poste ».
• Configuration BIOS : si l’on veut bénéficier de l’ensemble des fonctionnalités du serveur
tftp, les machines doivent être réglées pour pouvoir booter sur le périphérique réseau (option
en général nommée boot PXE), et pouvoir être allumées à distance (option « wake on
lan »). La carte réseau doit être le premier périphérique dans l’ordre de démarrage, suivie
du disque dur.
2. Côté serveur :
• Activer dans l’interface les modules « Clonage / sauvegarde - restauration de stations
(se3-clonage) » et « Installation de stations (se3-unattended) » par le menu Paramètres
serveur → Modules.
Figure 25.1 – Activer le module TFTP
• Configurer ensuite le module : il est conseillé à la fois de mettre un mot de passe sur
le boot réseau (Cf figure 2) et de télécharger le système sysrescueCD qui permet une
meilleur reconnaissance des périphériques réseau et des contrôleurs de disques durs des
stations. Pensez à tester régulièrement la présence de mises à jour de sysrescueCD pour
une reconnaissance optimale des matériels les plus récents.
Page 200/208
Samba Édu 3
Figure 25.2 – Définir un mot de passe sur le « boot » réseau
Figure 25.3 – Télécharger SystemRescueCD
25.2
Installer une station en mode « unattended ».
25.2.1
Préparation du serveur par la mise en place des sources d’installation.
Il faut disposer d’un CD d’installation de Windows XP Corporate avec une clé de licence en
volume, si possible intégrant le SP3. Si le CD n’intègre pas le SP3, il est possible de se fabriquer un
CD avec le logiciel nlite (Voir le site http://www.nliteos.com).
Connecté en admin sur une station du réseau :
• Mettre le CD de XP dans le lecteur de CD de la station.
• Lancer le script Y:/unattended/install/unattended-config.bat, qui va copier les sources
de windows sur le serveur. Il faut également entrer le numéro de licence lorsque le script le
demande. Cette opération n’est à effectuer qu’une fois pour toutes.
• Récupérer via un logiciel de téléchargement par bitorrent les DriversPack à partir de l’adresse
http://driverpacks.net/driverpacks/latest/ (attention à bien choisir les packs correspondant au système d’exploitation des machines), puis les copier dans le dossier
Y:/unattended/install/drvbase/DriverPacks.
Le script Y:/unattended/install/drvbase/DPinstall.bat, qui va permettre de vérifier que
les fichiers téléchargés correspondent bien aux dernières versions en cours (bouton « update
checker » du menu de gauche) puis de les intégrer aux sources de windows.
Le site ne propose plus hélas que des téléchargements via bittorent ; il faut donc qu’un logiciel
permettant ce type de connexion soit installé sur la station.
Dans Paramètres → DriversPacks, sélectionner les packs à intégrer Dans Intégration choisir
la méthode 2
Page 201/208
Samba Édu 3
Optionnel : si vous avez intégré le driver pack Graphics A, vous pouvez activer les centres
de control ATI ou Nvidia, dans Options puis Autres, en fonction de la carte graphique dont
vous disposez.
Cliquer enfin sur le bouton Intégrer. Patienter plusieurs minutes que les pilotes soient intégrés
aux sources de XP, jusqu’à obtention de la fenêtre suivante.
Figure 25.4 – Intégration des pilotes
Terminer l’installation en cliquant sur OK.
25.2.2
Installation devant le poste
Si le poste est neuf, inconnu de l’annuaire, ou si son BIOS n’est pas correctement configuré (WOL
et boot PXE) vous devez vous rendre devant la machine et booter en PXE (à l’aide de la touche F12
la plupart du temps). Dans le menu qui s’affiche, choisir Maintenance, puis Installation et enfin
Unattended. Quelques secondes plus tard, il faut saisir le nom netbios souhaité pour l’ordinateur.
En fin d’installation, la mise au domaine devra être effectuée « à la main ».
25.2.3
Installation à distance
Pour pouvoir démarrer un poste à distance, il faut avoir réglé le BIOS de la machine pour répondre
au Wake On Line (WOL) et avoir réglé l’ordre de démarrage du BIOS comme suit :
1. Boot PXE,
2. Boot sur le disque dur.
La machine doit également être connue dans l’annuaire. Il s’agit donc en général d’une réinstallation.
• Dans l’interface de SambaÉdu3, allez dans le menu Serveur tftp → Programmer une install,
choisir le ou les parcs dans lesquelles procéder à une installation, puis cliquer sur valider.
• Dans la fenêtre suivante, sélectionner les postes à installer, puis « valider ».
• Choisir les options d’installation silencieuse de windows. Attention aux options de partitionnement qui sont particulièrement sensibles si d’autres systèmes d’exploitation sont installés en
multiboot. Ne pas effacer le MBR pour ne pas supprimer le selecteur d’OS.
Page 202/208
Samba Édu 3
• Cliquer sur Valider et laisser l’installation se dérouler. Elle sera suivie d’une intégration dans
le domaine, et d’une installation des logiciels à déployer sur le parc TousLesPostes.
U
Il peut arriver que l’intégration au domaine ne se fasse pas en fin d’installation.
Il faut alors vérifier que l’ensemble des champs des fichiers se3ip.ini et se3ip.bat
dans X:\netlogon\domscripts\ soient correctement remplis.
25.3
Clonage de stations
25.3.1
Préalable
Si les machines à cloner sont neuves, il est nécessaire de les démarrer une fois et de les faire
connaître de l’annuaire : dans l’interface du serveur DHCP, il faut leur réserver une adresse, les
renommer si besoin et les affecter à un parc. De cette façon, l’intégration au domaine se fera automatiquement en fin de processus.
Vérifier que le module de clonage est bien activé et à jour dans Configuration générale →
Modules.
25.3.2
Cloner
• Dans l’interface, aller sur Serveur tftp et choisir Programmer un clonage ;
• Choisir le ou les parcs des machines concernées ;
Figure 25.5 – Choisir un parc
• Choisir l’émetteur. Attention, la machine doit être allumée ; il est possible, si la configuration
du BIOS le permet, de l’allumer à distance, à partir du menu Gestion des parcs → Action.
• Choisir les récepteurs, qui peuvent soit être allumés, soit éteints (dans ce cas, l’option WOL
doit fonctionner).
• Enfin choisir la distribution « live » adaptée à votre matériel (SysRescCD permet en général
une meilleurs reconnaissance du matériel), et paramétrer les options. Si vous n’avez qu’un seul
disque dur et si vous souhaitez le cloner en entier, laissez dans partition à cloner sda. Si vous
ne voulez cloner que la partition windows, choisissez en général sda1.
Page 203/208
Samba Édu 3
Figure 25.6 – Choix de l’émetteur
Figure 25.7 – Choisir le récepteur
Le poste émetteur redémarre 2 fois. Une première fois sous XP puis avec la distribution « live »
choisie. Lorsque l’émetteur est prêt vous avez affiché à l’écran la commande UDP sender associée à
la partition à cloner (/dev/sda), l’adresse IP de l’émetteur, et la carte réseau adéquate (en général
eth0).
À ce moment, les postes récepteurs démarrent avec la distribution « live » choisie. Une fois la
distribution chargée, vous avez à l’écran la commande UDP receiver associée à la partition à cloner,
l’adresse IP du récepteur, et la carte réseau adéquate (en général eth0).
Sur l’écran de l’émetteur on doit voir les différents récepteurs s’inscrire. Lorsque toutes les récepteurs sont inscrits auprès de l’émetteur, le clonage démarre.
Lors du redémarrage, les stations doivent être réintégrées automatiquement au domaine.
25.4
Sauvegarde et restauration des stations
L’opération consiste à copier l’image compressée de la partition Windows sur une partition formatée dans un système de fichiers invisible sous Windows (ext3). L’opération inverse permet de
retrouver un système dans l’état où il se trouvait au moment de la sauvegarde.
Donc, pour sauvegarder, il faut d’abord partitionner !
La station doit avoir une partition GNU/Linux (formatée en ext3) située après la partition Windows. Sa taille dépend de la quantité de données à sauvegarder, sachant que ces données seront
compressées (l’image fait en général environ la moitié de la taille des données contenues dans la
partition Windows).
Pour partitionner votre disque, vous pouvez utiliser la version de SysrecueCD installée sur le
Page 204/208
Samba Édu 3
Figure 25.8 – Choix de la distribution
Figure 25.9 –
serveur et accessible en boot PXE. Cette distibution comprend l’outil GParted, qui permet un redimensionnement de partitions ntfs sans perte de données, et la création de nouvelles partitions dans
l’espace ainsi libéré. Au démarrage de la station, bootez en PXE puis dans le menu maintenance,
Figure 25.10 – Maintenance
choisissez par exemple l’option Sauvegarde-Restauration-Repartitionnement
Figure 25.11 – Sauvegarde-Restauration-Repartitionnement
Page 205/208
Samba Édu 3
puis SysrescCD (800x600).
Figure 25.12 – SysresCD
Lorsque le menu apparaît, choisissez q
Figure 25.13 – Choisir q
puis au « prompt », entrez la commande startx qui lance une interface graphique en validant par
la touche « entrée ». Une fois celle çi lancée, dans le terminal enter la commande gparted
Page 206/208
Samba Édu 3
Figure 25.14 – Lancer gparted
puis utiliser l’outil.
Figure 25.15 – gparted

N’oubliez pas de valider toutes les opérations de repartitionnement avant de
quitter et de rebooter la station.
Une fois le partitionnement réalisé, choisir dans l’interface serveur tftp → Programmer une
sauvegarde → Configurer le module si ce n’est pas fait (voir plus haut la configuration du
module d’installation unattended).
• Choisir un parc ;
• Choisir une station à sauvegarder ;
• Choisir un nom pour cette sauvegarde. Si votre disque n’a que deux partitions (une en ntfs et
une en ext3), laissez tout auto. Vous pouvez choisir de rebooter ou non la machine en fin de
sauvegarde.
Page 207/208
Samba Édu 3
Figure 25.16 – Sauvegarde de la configuration
Pour restaurer une station, effectuez une manipulation semblable depuis Serveur tftp → Programmer
une restauration.
Page 208/208